Cisco Catalyst - Fragen zu Lizenzierung und Zertifikaten

[emulbetsup]

Guten Abend,
für mein kleines Homelab habe ich die Tage bei einem Reseller von gebrauchter Netzwerkhardware einen WS-C3560CX-8PC-S mit IPBase-Lizenz, also der Standardlizenz bei L3-Switchen, gekauft. Jetzt spiele ich gerade mit dem Switch etwas herum. Nach einem Neustart sind mit die folgenden Zeilen aufgefallen. Der Reload-Befehl kam über SSH, der Auszug ist von der parallel mitlaufenden Konsole:

WS-C3560CX#wr
Building configuration...
[OK]
WS-C3560CX#
Aug 31 17:33:27.839: %SYS-5-CONFIG_I: Configured from console by console
WS-C3560CX#
Aug 31 17:35:47.767: %SYS-5-CONFIG_I: Configured from console by emulbetsup on vty0 (192.168.178.91)
WS-C3560CX#
.Aug 31 17:37:34.736: %SYS-5-CONFIG_I: Configured from console by emulbetsup on vty0 (192.168.178.91)
WS-C3560CX#
.Aug 31 17:38:59.475: %SYS-5-RELOAD: Reload requested by emulbetsup on vty0 (192.168.178.91). Reload Reason: Reload command.
WS-C3560CX#
.Aug 31 17:39:00.726: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to down
.Aug 31 17:39:01.730: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed state to down
WS-C3560CX#
CPU rev: B
Image passed digital signature verification
Board rev: 9
Testing DataBus...
Testing AddressBus...
Testing Memory from 0x00000000 to 0x1fffffff.../
Using driver version 4 for media type 1
Xmodem file system is available.
Base ethernet MAC Address: 2c:01:b5:##:##:##
The password-recovery mechanism is enabled.
USB EHCI 1.00
USB EHCI 1.00
USB Console INIT
Initializing Flash...
mifs[5]: 12 files, 1 directories
mifs[5]: Total bytes : 1806336
mifs[5]: Bytes used : 826368
mifs[5]: Bytes available : 979968
mifs[5]: mifs fsck took 1 seconds.
mifs[6]: 2 files, 1 directories
mifs[6]: Total bytes : 3870720
mifs[6]: Bytes used : 1516544
mifs[6]: Bytes available : 2354176
mifs[6]: mifs fsck took 1 seconds.
mifs[7]: 5 files, 1 directories
mifs[7]: Total bytes : 258048
mifs[7]: Bytes used : 8192
mifs[7]: Bytes available : 249856
mifs[7]: mifs fsck took 0 seconds.
mifs[8]: 5 files, 1 directories
mifs[8]: Total bytes : 258048
mifs[8]: Bytes used : 8192
mifs[8]: Bytes available : 249856
mifs[8]: mifs fsck took 0 seconds.
mifs[9]: 565 files, 13 directories
mifs[9]: Total bytes : 122185728
mifs[9]: Bytes used : 27112960
mifs[9]: Bytes available : 95072768
mifs[9]: mifs fsck took 34 seconds.
...done Initializing Flash.
Loading "flash:/c3560cx-universalk9-mz.152-4.E6/c3560cx-universalk9-mz.152-4.E6.bin"...Verifying image flash:/c3560cx-universalk9-mz.152-4.E6/c3560cx-universalk9-mz.152-4.E6.bin.........................................................................................................................................................................................................................................................................................................................................Image passed digital signature verification
$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
File "flash:/c3560cx-universalk9-mz.152-4.E6/c3560cx-universalk9-mz.152-4.E6.bin" uncompressed and installed, entry point: 0x3000
executing...

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706



Cisco IOS Software, C3560CX Software (C3560CX-UNIVERSALK9-M), Version 15.2(4)E6, RELEASE SOFTWARE (fc4)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2018 by Cisco Systems, Inc.
Compiled Thu 05-Apr-18 03:17 by prod_rel_team
Initializing flashfs...
Using driver version 4 for media type 1
mifs[7]: 12 files, 1 directories
mifs[7]: Total bytes : 1806336
mifs[7]: Bytes used : 826368
mifs[7]: Bytes available : 979968
mifs[7]: mifs fsck took 0 seconds.
mifs[7]: Initialization complete.

mifs[8]: 2 files, 1 directories
mifs[8]: Total bytes : 3870720
mifs[8]: Bytes used : 1516544
mifs[8]: Bytes available : 2354176
mifs[8]: mifs fsck took 0 seconds.
mifs[8]: Initialization complete.

mifs[9]: 5 files, 1 directories
mifs[9]: Total bytes : 258048
mifs[9]: Bytes used : 8192
mifs[9]: Bytes available : 249856
mifs[9]: mifs fsck took 0 seconds.
mifs[9]: Initialization complete.

mifs[10]: 5 files, 1 directories
mifs[10]: Total bytes : 258048
mifs[10]: Bytes used : 8192
mifs[10]: Bytes available : 249856
mifs[10]: mifs fsck took 1 seconds.
mifs[10]: Initialization complete.

mifs[11]: 565 files, 13 directories
mifs[11]: Total bytes : 122185728
mifs[11]: Bytes used : 27112960
mifs[11]: Bytes available : 95072768
mifs[11]: mifs fsck took 1 seconds.
mifs[11]: Initialization complete.

...done Initializing flashfs.
Checking for Bootloader upgrade..
Boot Loader upgrade not needed(v)


FIPS: Flash Key Check : Begin
FIPS: Flash Key Check : End, Not Found, FIPS Mode Not Enabled

extracting front_end/front_end_ucode_info (43 bytes)
POST: MA BIST : Begin
POST: MA BIST : End, Status Passed

POST: TCAM BIST : Begin
POST: TCAM BIST : End, Status Passed

POST: ACT2 Authentication : Begin
POST: ACT2 Authentication : End, Status Passed
POST: PortASIC Port Loopback Tests : Begin
POST: PortASIC Port Loopback Tests : End, Status Passed

POST: PortASIC Macsec Loopback Tests : Begin
POST: PortASIC Macsec Loopback Tests : End, Status Passed

Waiting for Port download...Complete
Initializing Port Extension Feature Support...


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

cisco WS-C3560CX-8PC-S (APM86XXX) processor (revision L0) with 524288K bytes of memory.
Processor board ID FOC########
Last reset from reload command
1 Virtual Ethernet interface
12 Gigabit Ethernet interfaces
The password-recovery mechanism is enabled.

512K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address : 2C:01:B5:##:##:##
Motherboard assembly number : 73-######-##
Power supply part number : 341-####-##
Motherboard serial number : FOC########
Power supply serial number : LIT#########
Model revision number : L0
Motherboard revision number : B0
Model number : WS-C3560CX-8PC-S
System serial number : FOC########
Top Assembly Part Number : 68-######-##
Top Assembly Revision Number : D0
Version ID : V03
CLEI Code Number : CMM#######
Hardware Board Revision Number : 0x09


Switch Ports Model SW Version SW Image
------ ----- ----- ---------- ----------
* 1 12 WS-C3560CX-8PC-S 15.2(4)E6 C3560CX-UNIVERSALK9-M




Press RETURN to get started!


*Mar 1 00:00:28.675: Read env variable - LICENSE_BOOT_LEVEL = ipservices
*Jan 2 00:00:00.513: %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL: Module name = c3560cx Next reboot level = ipbase and License = No valid license found
Aug 31 17:42:09.246: %SMI-5-CLIENT: Smart Install Client feature is enabled. It is recommended to disable the Smart Install feature when it is not actively used. To disable feature execute 'no vstack' in configuration mode
Aug 31 17:42:09.911: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down
Aug 31 17:42:11.344: %SPANTREE-5-EXTENDED_SYSID: Extended SysId enabled for type vlan
Aug 31 17:42:16.310: %SYS-5-CONFIG_I: Configured from memory by console
Aug 31 17:42:16.649: %SYS-5-RESTART: System restarted --
Cisco IOS Software, C3560CX Software (C3560CX-UNIVERSALK9-M), Version 15.2(4)E6, RELEASE SOFTWARE (fc4)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2018 by Cisco Systems, Inc.
Compiled Thu 05-Apr-18 03:17 by prod_rel_team
Aug 31 17:42:16.723: %SSH-5-ENABLED: SSH 2.0 has been enabled
Aug 31 17:42:17.719: %ILPOWER-7-DETECT: Interface Gi0/1: Power Device detected: IEEE PD
Aug 31 17:42:18.439: %ILPOWER-5-POWER_GRANTED: Interface Gi0/1: Power granted
Aug 31 17:42:18.907: %USB_CONSOLE-6-MEDIA_RJ45: Console media-type is RJ45.
Aug 31 17:42:19.421: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/6, changed state to up
Aug 31 17:42:19.903: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
Aug 31 17:42:21.413: %LINK-3-UPDOWN: Interface GigabitEthernet0/6, changed state to up
Aug 31 17:42:21.494: %LINK-3-UPDOWN: Interface GigabitEthernet0/8, changed state to up
Aug 31 17:42:22.493: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/8, changed state to up
Aug 31 17:42:28.320: %DHCP-6-ADDRESS_ASSIGN: Interface Vlan1 assigned DHCP address 192.168.178.72, mask 255.255.255.0, hostname WS-C3560CX
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)
Failed to generate persistent self-signed certificate.
Secure server will use temporary self-signed certificate.

Aug 31 17:42:32.902: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed state to up
Aug 31 17:42:33.905: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to up
Aug 31 17:58:01.895: %SYS-5-CONFIG_I: Configured from console by emulbetsup on vty0 (192.168.178.91)
Aug 31 18:01:41.397: %CRYPTO-6-AUTOGEN: Generated new 768 bit key pair
WS-C3560CX>

Ok, der Switch versucht also offensichtlich die höchste Lizenzstufe zu booten, hat dafür aber nicht die Rechte:

*Mar 1 00:00:28.675: Read env variable - LICENSE_BOOT_LEVEL = ipservices
*Jan 2 00:00:00.513: %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL: Module name = c3560cx Next reboot level = ipbase and License = No valid license found

Außerdem scheint er ein Problem damit zu haben sich ein dauerhaftes selbstsigniertes Zertifikat zu erstellen:

% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)
Failed to generate persistent self-signed certificate.
Secure server will use temporary self-signed certificate.

Auszug von show version

WS-C3560CX#show version
Cisco IOS Software, C3560CX Software (C3560CX-UNIVERSALK9-M), Version 15.2(4)E6, RELEASE SOFTWARE (fc4)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2018 by Cisco Systems, Inc.
Compiled Thu 05-Apr-18 03:17 by prod_rel_team

ROM: Bootstrap program is C3560CX boot loader
BOOTLDR: C3560CX Boot Loader (C3560CX-HBOOT-M) Version 15.2(4r)E5, RELEASE SOFTWARE (fc4)

WS-C3560CX uptime is 29 minutes
System returned to ROM by power-on
System restarted at 17:41:17 UTC Tue Aug 31 2021
System image file is "flash:/c3560cx-universalk9-mz.152-4.E6/c3560cx-universalk9-mz.152-4.E6.bin"
Last reload reason: Reload command



This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

License Level: ipbase
License Type: Default. No valid license found.
Next reload license Level: ipbase

cisco WS-C3560CX-8PC-S (APM86XXX) processor (revision L0) with 524288K bytes of memory.
Processor board ID FOC########
Last reset from reload command
1 Virtual Ethernet interface
12 Gigabit Ethernet interfaces
The password-recovery mechanism is enabled.

512K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address : 2C:01:B5:##:##:##
Motherboard assembly number : 73-######-##
Power supply part number : 341-####-##
Motherboard serial number : FOC########
Power supply serial number : LIT#########
Model revision number : L0
Motherboard revision number : B0
Model number : WS-C3560CX-8PC-S
System serial number : FOC########
Top Assembly Part Number : 68-######-##
Top Assembly Revision Number : D0
Version ID : V03
CLEI Code Number : CMM#######
Hardware Board Revision Number : 0x09


Switch Ports Model SW Version SW Image
------ ----- ----- ---------- ----------
* 1 12 WS-C3560CX-8PC-S 15.2(4)E6 C3560CX-UNIVERSALK9-M


Configuration register is 0xF

WS-C3560CX#

Hier war mein Latein am Ende, weswegen es ab hier mit Google weiter ging...

WS-C3560CX#show file systems
File Systems:

Size(b) Free(b) Type Flags Prefixes
- - opaque ro bs:
* 122185728 95072768 flash rw flash:
- - opaque rw system:
- - opaque rw tmpsys:
- - opaque rw null:
- - opaque ro tar:
- - network rw tftp:
- - opaque ro xmodem:
- - opaque ro ymodem:
524288 509835 nvram rw nvram:
- - opaque wo syslog:
- - network rw rcp:
- - network rw http:
- - network rw ftp:
- - network rw scp:
- - network rw https:
- - opaque ro cns:


WS-C3560CX#dir
Directory of flash:/

2 -rwx 3563 Aug 31 2021 17:38:55 +00:00 private-config.text
3 drwx 512 Aug 30 2021 21:00:17 +00:00 online_diag
579 -rwx 9240 Aug 31 2021 17:42:21 +00:00 multiple-fs
5 drwx 512 Dec 22 2018 18:50:56 +00:00 c3560cx-universalk9-mz.152-4.E6
576 drwx 512 Dec 22 2018 18:50:56 +00:00 dc_profile_dir
578 -rwx 1622 Aug 31 2021 17:38:55 +00:00 config.text

122185728 bytes total (95072768 bytes free)

WS-C3560CX#dir nvram
%Error opening flash:/nvram (No such file or directory)
WS-C3560CX#dir nvram:
Directory of nvram:/

513 -rw- 1622 <no date> startup-config
514 ---- 3563 <no date> private-config
515 -rw- 1622 <no date> underlying-config
1 ---- 69 <no date> persistent-data
2 -rw- 1467 <no date> QuoVadisRoot#509CA.cer
4 -rw- 947 <no date> DigiCertGlob#C74ACA.cer
5 -rw- 1239 <no date> VeriSignClas#3B4ACA.cer
7 -rw- 464 <no date> CiscoECCRoot#1CA.cer
8 -rw- 805 <no date> CiscoRootCA2#C1C1CA.cer
9 -rw- 0 <no date> ifIndex-table

524288 bytes total (509835 bytes free)

WS-C3560CX#show license ?
EULA Display end user Right-To-Use license agreement information
agent Show license agent information
all Show license all information
call-home Show license call-home information
detail Show license detail information
feature Show license feature information
file Show license file information
right-to-use Show license right-to-use information
statistics Show license statistics information
status Show license status information
udi Show license udi information
| Output modifiers
<cr>

WS-C3560CX#show license
Index 1 Feature: ipservices
Period left: 12 weeks 6 days
License Type: Evaluation
License State: Active, Not in Use, EULA not accepted
License Priority: None
License Count: Non-Counted

Index 2 Feature: ipbase
Period left: 0 minute 0 second

WS-C3560CX#show license detail
Index: 1 Feature: ipservices Version: 1.0
License Type: Evaluation
License State: Active, Not in Use, EULA not accepted
Evaluation total period: 12 weeks 6 days
Evaluation period left: 12 weeks 6 days
Period used: 0 minute 0 second
License Priority: None
License Count: Non-Counted
Store Index: 0
Store Name:

Index: 2 Feature: ipservices Version: 1.0
License Type: PermanentRightToUse
License State: Inactive
Period used: 0 minute 0 second
License Priority: None
License Count: Non-Counted
Store Index: 1
Store Name:


WS-C3560CX#show license EULA evaluation
Feature name EULA Accepted
------------ -------------
ipservices no
ipbase n/a

PLEASE READ THE FOLLOWING TERMS CAREFULLY. INSTALLING THE LICENSE OR
LICENSE KEY PROVIDED FOR ANY CISCO PRODUCT FEATURE OR USING SUCH
PRODUCT FEATURE CONSTITUTES YOUR FULL ACCEPTANCE OF THE FOLLOWING
TERMS. YOU MUST NOT PROCEED FURTHER IF YOU ARE NOT WILLING TO BE BOUND
BY ALL THE TERMS SET FORTH HEREIN.

You hereby acknowledge and agree that the product feature license
is terminable and that the product feature enabled by such license
may be shut down or terminated by Cisco after expiration of the
applicable term of the license (e.g., 30-day trial period). Cisco
reserves the right to terminate or shut down any such product feature
electronically or by any other means available. While alerts or such
messages may be provided, it is your sole responsibility to monitor
your terminable usage of any product feature enabled by the license
and to ensure that your systems and networks are prepared for the shut
down of the product feature. You acknowledge and agree that Cisco will
not have any liability whatsoever for any damages, including, but not
limited to, direct, indirect, special, or consequential damages related
to any product feature being shutdown or terminated. By clicking the
"accept" button or typing "yes" you are indicating you have read and
agree to be bound by all the terms provided herein.


WS-C3560CX#show license right-to-use
License Store: Built-In License Storage
StoreIndex: 1 Feature: ipservices Version: 1.0
License Type: PermanentRightToUse
License State: Inactive
Period used: 0 minute 0 second
License Priority: None
License Count: Non-Counted


WS-C3560CX#show license all
License Store: Primary License Storage
License Store: Built-In License Storage
StoreIndex: 0 Feature: ipservices Version: 1.0
License Type: Evaluation
License State: Active, Not in Use, EULA not accepted
Evaluation total period: 12 weeks 6 days
Evaluation period left: 12 weeks 6 days
Period used: 0 minute 0 second
License Priority: None
License Count: Non-Counted

StoreIndex: 1 Feature: ipservices Version: 1.0
License Type: PermanentRightToUse
License State: Inactive
Period used: 0 minute 0 second
License Priority: None
License Count: Non-Counted


WS-C3560CX#license right-to-use activate ipservices acceptEULA
Activated Permanent Right-To-Use ipservices license

Next Reboot level is ipservices

WS-C3560CX#
Aug 31 18:48:17.844: %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL: Module name = c3560cx Next reboot level = ipservices and License = ipservices
Aug 31 18:48:18.229: %LICENSE-6-EULA_ACCEPTED: EULA for feature ipservices 1.0 has been accepted. UDI=WS-C3560CX-8PC-S:FOC########; StoreIndex=1:
WS-C3560CX#wr
Building configuration...
[OK]
WS-C3560CX#reload
Proceed with reload? [confirm]

Nach dem Neustart ist laut show version die höhere IPServices-Lizenz aktiv und der Befehl show license detail gibt Folgendes zurück:

WS-C3560CX#show license detail
Index: 1 Feature: ipservices Version: 1.0
License Type: PermanentRightToUse
License State: Active, In Use
Period used: 9 minutes 33 seconds
License Priority: High
License Count: Non-Counted
Store Index: 1
Store Name:

Index: 2 Feature: ipservices Version: 1.0
License Type: Evaluation
License State: Inactive
Evaluation total period: 12 weeks 6 days
Evaluation period left: 12 weeks 6 days
Period used: 0 minute 0 second
License Priority: None
License Count: Non-Counted
Store Index: 0
Store Name:

Jetzt bin ich etwas verwirrt und hoffe darauf, dass hier jemand etwas Licht in das Dunkel bringen kann. Bin hier nicht ganz unbeleckt, aber mit Lizenzierung von höheren Lizenzstufen hatte ich tatsächlich noch nicht zu tun. Das Thema ist ja bei Cisco imho ohnehin nicht ganz intuitiv, daher verzeiht bitte meine Fragen...

1. Was hat es mit dem o.g. Problem auf sich, in dessen Zusammenhang der Switch kein persistentes selbstsigniertes Zertifikat erstellen kann?

2. Wurde der Switch von Cisco, wie vom Verkäufer angegeben, tatsächlich nur mit einer IPBase-Lizenz ausgeliefert oder hat er, was ich jetzt vermute, von Werk aus die IPServices-Lizenz?

3. Wurde, sofern der Switch tatsächlich mit einer IPServices-Lizenz ausgeliefert wurde, diese jemals vom Vorbesitzer aktiviert oder setzt der Switch nach dem Zurücksetzen (write erase) auch die Lizenzierungsinformationen zurück?

4. Ab welcher IOS-Version nutzt Cisco Smart-Licensing bzw. kann es sein, dass der Switch bei dieser IOS-Version noch im Account seines vorherigen Besitzers hängt und dort Lizenzen konsumiert und von dort eine IPServices-Lizenz gezogen hat?

Besten Dank für eure Antworten!

 

[Joe Dalton]

Moin,

wie ist der Switch denn aktuell konfiguriert?

zum Thema IP Base: https://www.cisco.com/c/en/us/produ...datasheet-c78-733229.html#OrderingInformation

Smart Licensing ist da noch kein Thema und die DNA-Lizenz nicht damit verwechseln.

Aber was zur Hölle willst Du mit dem Ding?

grüsse,
Christian

 

[whats4]

cisco hat eine sehr professionelle preisgestaltung.
und mit sicherheit einen lizenzspezialiste(n/in) im pre-sales.

und genau der/die sollte dein ansprechpartner sein, in lizenzfragen.

 

[emulbetsup]

Danke für die schnelle Antwort! Lerne gerade für den CCNA und der Switch ist als Teil meiner Übungsumgebung gedacht. Vorteil von der Catalyst Compact-Serie ist ja, dass die ohne Lüfter auskommen und trotzdem PoE+ können. Das war mir den Aufpreis wert. Eigentlich wollte ich nicht so aktuelle Hardware anschaffen, aber der Preis war recht niedrig; da konnte ich nicht widerstehen.

Die aktuelle Config sieht so aus:

WS-C3560CX#show run
Building configuration...

Current configuration : 13424 bytes
!
! Last configuration change at 23:04:03 CEST Tue Aug 31 2021 by emulbetsup
! NVRAM config last updated at 23:04:06 CEST Tue Aug 31 2021 by emulbetsup
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname WS-C3560CX
!
boot-start-marker
boot-end-marker
!
!
!
username emulbetsup privilege 15 secret 5 $chuckr0b1n5157d3rchuckn0rr15v0nc15c0
no aaa new-model
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
system mtu routing 1500
!
!
!
!
ip routing
!
!
!
no ip domain-lookup
ip domain-name fritz.box
!
!
!
!
!
!
!
!
crypto pki certificate pool
certificate ca
quit

certificate ca
quit

certificate ca
quit

certificate ca
quit

certificate ca
quit


archive
log config
logging enable
logging size 200
hidekeys
path ftp://emulbestup:hierwürdedaspasswortimklartextstehen@192.168.178.40/Public/Cisco/$h___$t
write-memory
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
!
!
!
vlan internal allocation policy ascending
!
lldp run
!
!
!
!
!
!
!
!
!
!
!
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface GigabitEthernet0/3
!
interface GigabitEthernet0/4
!
interface GigabitEthernet0/5
!
interface GigabitEthernet0/6
!
interface GigabitEthernet0/7
!
interface GigabitEthernet0/8
!
interface GigabitEthernet0/9
!
interface GigabitEthernet0/10
!
interface GigabitEthernet0/11
!
interface GigabitEthernet0/12
!
interface Vlan1
ip address dhcp
!
ip forward-protocol nd
!
ip http server
ip http authentication local
ip http secure-server
!
ip ssh version 2
!
!
!
!
no vstack
!
line con 0
logging synchronous
line vty 0 4
login local
transport input ssh
line vty 5 15
login local
transport input ssh
!
ntp server 134.130.4.17 prefer
!
end

Was mich auch wundert, sind die fünf Zertifikate, die er hier aufführt. Bei meinem WS-C3560CG-8PC-S, den ich vor einiger Zeit mit IPBase-Lizenz gekauft habe, steht in der Config stattdessen:

crypto pki trustpoint TP-self-signed-123456789
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-123456789
revocation-check none
rsakeypair TP-self-signed-123456789
!
!
crypto pki certificate chain TP-self-signed-123456789
certificate self-signed 01
quit

cisco hat eine sehr professionelle preisgestaltung.
und mit sicherheit einen lizenzspezialiste(n/in).

und genau der/die sollte dein ansprechpartner sein, in lizenzfragen.

Ja, wenn ich denn Support dafür hätte. Wie gesagt, der Switch ist gebraucht von einem Reseller ohne Servicevertrag. Ist ja auch nicht so, dass Hinz und Kunz bei Cisco Support bekäme. Das gibt es nur über einen Servicevertrag mit Cisco direkt oder über ein autorisiertes Systemhaus, das wiederum für dich mit Cisco einen Vertrag abschließt. Das Systemhaus macht dann den Second-Level und Cisco steht als Third-Level im Hintergrund.

 

[Joe Dalton]

Danke für die schnelle Antwort! Lerne gerade für den CCNA und der Switch ist als Teil meiner Übungsumgebung gedacht. Vorteil von der Catalyst Compact-Serie ist ja, dass die ohne Lüfter auskommen und trotzdem PoE+ können. Das war mir den Aufpreis wert. Eigentlich wollte ich nicht so aktuelle Hardware anschaffen, aber der Preis war recht niedrig; da konnte ich nicht widerstehen.

GNS3 bringt Dir da mehr oder die Cisco Modeling Labs, wenn‘s etwas größer sein darf. Der Switch hilft Dir nur sehr bedingt.

Was mich auch wundert, sind die fünf Zertifikate, die er hier aufführt. Bei meinem WS-C3560CG-8PC-S, den ich vor einiger Zeit mit IPBase-Lizenz gekauft habe, steht in der Config stattdessen:

Dann lösche sie. Und beim C3560CG traue ich mich nicht zu fragen.

Ja, wenn ich denn Support dafür hätte. Wie gesagt, der Switch ist gebraucht von einem Reseller ohne Servicevertrag. Ist ja auch nicht so, dass Hinz und Kunz bei Cisco Support bekäme. Das gibt es nur über einen Servicevertrag mit Cisco direkt oder über ein autorisiertes Systemhaus, das wiederum für dich mit Cisco einen Vertrag abschließt. Das Systemhaus macht dann den Second-Level und Cisco steht als Third-Level im Hintergrund.

Für Dich wird sich kein Servicevertrag lohnen, aber die Switches haben eine „lebenslange“ Garantie bei HW-Ausfall. Aber der 2. Teil Deines Absatzes stimmt so nicht.

Ohne Servicevertrag kommst Du allerdings nicht Softwareupdates, wenn sich alle an die Spielregeln halten.

gute Nacht…

 

[emulbetsup]

GNS3 bringt Dir da mehr oder die Cisco Modeling Labs, wenn‘s etwas größer sein darf. Der Switch hilft Dir nur sehr bedingt.

Ja und nein. Hier gibt es mindestens zwei Meinungen.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Je nach Lösung hat man dann wieder das Problem legal an die Images zu kommen. Packet Tracer ist gut, bildet aber längst nicht alle IOS-Funktionen nach. Das tut hier aber auch nichts zur Sache.

Dann lösche sie. Und beim C3560CG traue ich mich nicht zu fragen.

Verstehe dein Problem nicht. Selbst wenn ich hier fünf WS-C3850 hätte - wer sollte sich daran stören?

 

[Joe Dalton]

Verstehe dein Problem nicht. Selbst wenn ich hier fünf WS-C3850 hätte - wer sollte sich daran stören?

Du?! Die Krücken können nichts besonderes und sind (un)verhältnismäßig teuer und nicht unbedingt sparsam. Das Geld hätte ich eher in Schulung/Weiterbildung/Tutorials gesteckt.
Abgesehen davon: Wenn Du schon auf einem aktuellen Stand sein möchtest, dann bitte Richtung C9200/C9300 gehen.

Testhardware wird durchaus gebraucht und ich bin froh inzwischen eine umfangreiche Testmöglichkeit zu haben (z.B. für Cisco ACI oder kürzlich Aruba Fabric Composer). Aber parallel läuft auch eine GNS3-Umgebung, wo wir größere "klassische" Konfigurationen aufbauen können.

Du musst GNS3 oder ähnliche nicht nutzen. Es ist nur eine Empfehlung.

Grüße,
Christian

 

[emulbetsup]

Ok, konnte die offenen Punkte jetzt klären. Vielleicht kurz für den Googelnden...

1. Was hat es mit dem o.g. Problem auf sich, in dessen Zusammenhang der Switch kein persistentes selbstsigniertes Zertifikat erstellen kann?

Die eingesetzte Firmware ist von dem folgenden Bug betroffen:

IOS Self-Signed Certificate Expiration on Jan. 1, 2020

Ein Firmwareupdate auf eine aktuellere Version würde das Problem beheben.

2. Wurde der Switch von Cisco, wie vom Verkäufer angegeben, tatsächlich nur mit einer IPBase-Lizenz ausgeliefert oder hat er, was ich jetzt vermute, von Werk aus die IPServices-Lizenz?

Ja, der Switch wurde nur mit der IPBase-Lizenz ausgeliefert. Cisco verwendet bei Geräten, die von Werk aus mit einem Universal-Image ausgeliefert werden, ihr sogenanntes Right-To-Use Lizenzmodell. Der Kunde hat die Möglichkeit bei der Bestellung oder auch danach eine passende Lizenz zu erwerben und über die CLI zu aktivieren. Die so erworbenen Lizenzen können auch bei einem Austausch auf das neue Gerät übertragen werden.

Diffrence between right to use and permanent license

Eine Überprüfung findet wohl seitens Cisco nicht statt, weswegen sich die Lizenz auch dann aktivieren lässt, wenn man nicht dazu berechtigt ist.

3. Wurde, sofern der Switch tatsächlich mit einer IPServices-Lizenz ausgeliefert wurde, diese jemals vom Vorbesitzer aktiviert oder setzt der Switch nach dem Zurücksetzen (write erase) auch die Lizenzierungsinformationen zurück?

Nein, selbst das Zurücksetzten der Konfiguration erhält die gesetzte Lizenz. Nur durch manuellen Eingriff auf dem CLI kann die verwendete Lizenz geändert werden.

 

[andy_m4]

Mal abgesehen von der grundsätzlichen Eignung der Hardware für Dich würde ich mir bei Cisco immer die Frage stellen, was für ein Sicherheitsbedürfnis ich hab.
Cisco hat sich da über viele viele Jahre einen zweifelhaften Ruf erarbeitet.
Ich würde mir ja auch kein Auto holen von dem bekannt ist, das es es öfter mal in Flammen aufgeht. Selbst wenns als Gebrauchtwagen ein Schnapper ist.

Die Oberfrechheit ist ja, das die nicht mal ihre Produkte sicher kriegen aber offenbar trotzdem genug Ressourcen damit verschwenden können irgendwelches Lizenzgedöns einzubauen, was dem Nutzer nur im Weg steht ohne ihm irgendeine Art von Nutzen zu bringen.

 

[Joe Dalton]

Moin,

Cisco hat sich da über viele viele Jahre einen zweifelhaften Ruf erarbeitet.

Wäre der Ruf so zweifelhaft, dann brauchen wir noch eine Erklärung für die breite Installationsbasis und die guten Geschäftsergebnisse.

Ich würde mir ja auch kein Auto holen von dem bekannt ist, das es es öfter mal in Flammen aufgeht. Selbst wenns als Gebrauchtwagen ein Schnapper ist.

Was wäre denn ein Beispiel im Ciscokontext, wo durch deren Produkte die Gesundheit/Leben gefährdet oder Hardware zerstört sein könnte?

Sicherheitslücken gibt es diverse, aber das ist auch kein Alleinstellungsmerkmal dieses einen Herstellers. Zumal die anderen Hersteller zum weder in der Menge noch bei den Funktionen (besonders SDN) was äquivalentes bieten.

Die Oberfrechheit ist ja, das die nicht mal ihre Produkte sicher kriegen aber offenbar trotzdem genug Ressourcen damit verschwenden können irgendwelches Lizenzgedöns einzubauen, was dem Nutzer nur im Weg steht ohne ihm irgendeine Art von Nutzen zu bringen.

Bei den Lizenzen gebe ich Dir recht: den Aufwand hätten sie besser in Funktion und Stabilität der Software stecken sollen. Aber nur mit der Hardware ist kein kontinuierliches Geschäft zu machen, dafür wird sie inzwischen nicht mehr häufig genug getauscht oder erweitert.

auf der anderen Seite: auch HPE/Aruba zeigt gerade die Preisschraube für Central an.

Grüsse,
Christian

 

[andy_m4]

Wäre der Ruf so zweifelhaft, dann brauchen wir noch eine Erklärung für die breite Installationsbasis und die guten Geschäftsergebnisse.

Seit wann ist Marktanteil ein Indikator für Qualität? Gerade wir aus der IT dürften das besser wissen.

Was wäre denn ein Beispiel im Ciscokontext, wo durch deren Produkte die Gesundheit/Leben gefährdet oder Hardware zerstört sein könnte?

WTF?
Wovon redest Du?

Sicherheitslücken gibt es diverse, aber das ist auch kein Alleinstellungsmerkmal dieses einen Herstellers.

Stimmt. Aber bei Cisco ist das ja schon legendär. Da hast Du ja fast jede Woche irgendwas. Und das seit Jahren. Und die Snowden-Veröffentlichungen legen auch nahe, das Cisco auch ein paar Sachen gemacht hat, um US-amerikanischen Geheimdiensten ähm ... behilflich zu sein.

Zumal die anderen Hersteller zum weder in der Menge noch bei den Funktionen (besonders SDN) was äquivalentes bieten.

Um bei meinem Beispiel zu bleiben: Was nützt mir ein Auto mit den tollsten Funktionen, wenn es regelmäßig in Flammen aufgeht? Da würdest Du doch auch nicht sagen: Ja. Brennt zwar ständig, hat aber tolle Funktionen und Assistenten die kein Anderes hat.

Aber nur mit der Hardware ist kein kontinuierliches Geschäft zu machen, dafür wird sie inzwischen nicht mehr häufig genug getauscht oder erweitert.

Klar macht man damit möglicherweise mehr Profit. Aber das spricht ja dann auch eher dagegen, weil es den Anwenderinteressen zuwiderläuft. Und wenn hier schon nicht im Sinne des Anwenders gehandelt wird, dann beim Rest wohl auch eher nicht.
Wie mans dreht und wendet. Es bleibt ein Argument gegen Cisco.

 

[Joe Dalton]

Moin,

Seit wann ist Marktanteil ein Indikator für Qualität? Gerade wir aus der IT dürften das besser wissen.

Irgendwas hat Cisco richtig gemacht und niedrige Preise waren es sicherlich nicht. So schlecht kann der Ruf also nicht sein oder er ist zumindest besser als der der Wettbewerber.

WTF?
Wovon redest Du?

Du hast was von brennenden Autos geschrieben und einen unpassenden Vergleich gebracht. Und ich habe Dich danach gefragt, was Du bei Cisco damit gleichsetzen würdest.

Stimmt. Aber bei Cisco ist das ja schon legendär. Da hast Du ja fast jede Woche irgendwas. Und das seit Jahren. Und die Snowden-Veröffentlichungen legen auch nahe, das Cisco auch ein paar Sachen gemacht hat, um US-amerikanischen Geheimdiensten ähm ... behilflich zu sein.

Und das ist bei anderen Herstellern anders? Glaube ich nicht...
Außerdem ist es bei der Größe des Portfolios auch nicht sehr verwunderlich, dass regelmäßig was gefunden wird. Das wäre bei jedem anderen Hersteller vergleichbarer Größe und Präsenz wahrscheinlich ähnlich.

Cisco hat den US-Geheimdiensten geholfen? Nein... tatsächlich. Alle anderen Hersteller hätten sich bestimmt bis zum Ende dagegen gewehrt.

Um bei meinem Beispiel zu bleiben: Was nützt mir ein Auto mit den tollsten Funktionen, wenn es regelmäßig in Flammen aufgeht? Da würdest Du doch auch nicht sagen: Ja. Brennt zwar ständig, hat aber tolle Funktionen und Assistenten die kein Anderes hat.

Aber bei Cisco gehen keine Switches in Flammen auf. Da fällt (regelmäßiger) mal ein Assistent bzw. eine Funktion aus, was sehr unschön und störend ist. Auch das TAC kann einem nur bedingt gleich weiterhelfen und für manches gibt es auch tatsächlich keine Lösung abseits von neuen Patch/neue Firmware installieren.

Aber Dein Vergleich hinkt: Eine Funktionsstörung ist etwas anderes als die Zerstörung des Objektes.

Würde ich SDA/DNA z.B. im Bereich von Produktionen einsetzen? Nein, definitiv nicht, aber bei Büroumgebungen hätte ich weniger Bauchschmerzen. Was wäre die Alternativ von Aruba? Dynamic Segmentation und/oder NetEdit?

Klar macht man damit möglicherweise mehr Profit. Aber das spricht ja dann auch eher dagegen, weil es den Anwenderinteressen zuwiderläuft. Und wenn hier schon nicht im Sinne des Anwenders gehandelt wird, dann beim Rest wohl auch eher nicht.

Das trifft aber auf alle gewinnorientierten Unternehmen zu: zu erst kommen deren Interessen, dann die der Kunden.

Hast Du mal mit Procurve-Switches gearbeitet? Die waren nur billig und Aruba darf das Erbe jetzt bewältigen. Der Ansatz von ArubaOS-CX gefällt mir, aber auch da sind sie erst auf dem Cisconiveau angekommen.

Juniper mit Mist und Apstra ist noch nett, aber auch nicht ganz günstig und muss sich noch beweisen.

Ein Kunde bezeichnete mal Cisco als die IBM des Netzwerks: Die Umschreibung gefällt mir.

Wie mans dreht und wendet. Es bleibt ein Argument gegen Cisco.

Ich habe gerade mal geschaut: Wir sind u.a. Cisco Gold/Aruba Platinum/Juniper Elite Partner.
Aus eigener Projekterfahrung kann ich von zweien sagen, dass sie nicht unproblematisch sind. Beim dritten bin ich nicht tief genug drin.

Aus meiner eigenen Historie bin ich defintiv kein Cisco-Fan und werde es auch wahrscheinlich nie werden. Aber Cisco als den großen Bösewicht darzustellen greift etwas kurz.

 

[Ranayna]

Ich kann aus meiner Sicht (CISCO Bei Telefonie und WLAN) vorallem eins sagen: Die Hardware war in der Vergangenheit schlicht "rock solid". Wobei ich die neuen WLAN Catalysts nicht kenne.
Mehr als 15 Jahre alte Telefone tun noch ziemlich Problemlos ihren Dienst. Aehnlich alte APs (als WGB Client) tun das ebenfalls.
Um die 300 weltweit verteile APs an insgesamt 12 Controllern in jetzt fast 10 Jahren: Ein Hardwareausfall, der dank Lifetime Warranty sogar ohne extra Servicevertrag auf dem Access Point getauscht wurde.

Aber, und das duerfte viele nicht ueberraschen:
Das ganze hat natuerlich seinen Preis. Garnicht mal so sehr bei der Hardware. Aber bei der Lizensierung ist Cisco inzwischen richtig frech geworden.
Dauerhafte Lizenzen gibts schonmal kaum noch zu kaufen. Dann muessen inzwischen fast alle Geraete mindestens einmal alle 30 Tage mit Cisco sprechen koennen, sonst werden die Lizenzen auf den Geraeten abgeschaltet. Folgen gehen dann von "Read-Only" Modus, bis hin zum Einstellen der Funktionalitaet, je nach Geraet.

Zu den Sicherheitsluecken: Alle Hersteller kochen auch nur mit Wasser. Ja, Cisco hatte einige haarstraeubende Sicherheitsprobleme in der Vergangenheit. Aber mir waere nicht ein einziger Hersteller bekannt bei dem das anders ist. Aber Cisco hat erstens ein sehr breit aufgestelltes Portfolio, vom VoIP Telefon bis zu Terabit Routern. Da ist so viel dabei, was natuerlich viele Luecken ermoeglicht.