as_Code: 2014

Friday, December 19, 2014

Cisco Mobility Services Engine - Instalação/Throubleshooting

A grande vantagem de trabalhar em um integrador é a possibilidade de deparar com um número muito grande de soluções de rede. Eu já conhecia, através de leituras, o Cisco MSE mas apenas recentemente tive a oportunidade de configurar um.
O MSE é uma ferramenta incrível mas que não encontramos a toda hora nos clientes. Talvez porque a função do mesmo não é vital para o ambiente. A função básica de um MSE é realizar Location e wIPS. Location é a habilidade de localizar usuários dentro da rede Wireless e IPS é voltado para segurança de rede.
O MSE está disponível em máquina virtual e appliance e roda sobre um RedHat. Eu tive a oportunidade de configurar um appliance. Interessante que eu recebi a tarefa devido a um problema encontrado no MSE appliance recem instalado. Por algum motivo ele não se comportava como esperado.
Realizando pesquisas identifiquei que algumas outras pessoas relatavam a mesma condição, desta forma eu suponho que não seja tão raro, o que torna esse post útil.
No caso que encontrei, o appliance apresentava um erro ao tentarmos ver o status do software através dos comandos:
-/etc/init.d/msed status ou getserverinfo.
O resultado vinha como segue:

[root@mse installers]# /etc/init.d/msed status
STATUS:
Health Monitor is running
Starting MSE Platform, Waiting to check the status.
Starting MSE Platform, Waiting to check the status.
Starting MSE Platform, Waiting to check the status.
Starting MSE Platform, Waiting to check the status.
Starting MSE Platform, Waiting to check the status.
Starting MSE Platform, Waiting to check the status.
Starting MSE Platform, Waiting to check the status.
Starting MSE Platform, Waiting to check the status.

Isso não é indicativo que tudo está errado, mas é no mínimo estranho. Baseado nesse erro e na impossibilidade de integrar o MSE ao Prime foi o ponto de partida para o trabalho executado.
Outro indicativo de que as coisas não estavam bem, era o erro apresentado após rodar o script de setup:

ERROR: Error in invoking Operation sendAuditLogMsg on mbean
javax.management.InstanceNotFoundException: mse-admin:name=cmdSetupAuditLog
at com.sun.jmx.interceptor.DefaultMBeanServerInterceptor.getMBean(DefaultMBeanServerInterceptor.java:1094)
at com.sun.jmx.interceptor.DefaultMBeanServerInterceptor.getClassLoaderFor(DefaultMBeanServerInterceptor.java:1438)
at com.sun.jmx.mbeanserver.JmxMBeanServer.getClassLoaderFor(JmxMBeanServer.java:1276)
at javax.management.remote.rmi.RMIConnectionImpl$5.run(RMIConnectionImpl.java:1326)
at java.security.AccessController.doPrivileged(Native Method)
at javax.management.remote.rmi.RMIConnectionImpl.getClassLoaderFor(RMIConnectionImpl.java:1323)
at javax.management.remote.rmi.RMIConnectionImpl.invoke(RMIConnectionImpl.java:771)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
at java.lang.reflect.Method.invoke(Method.java:597)
at sun.rmi.server.UnicastServerRef.dispatch(UnicastServerRef.java:303)
at sun.rmi.transport.Transport$1.run(Transport.java:159)
at java.security.AccessController.doPrivileged(Native Method)
at sun.rmi.transport.Transport.serviceCall(Transport.java:155)
at sun.rmi.transport.tcp.TCPTransport.handleMessages(TCPTransport.java:535)
at sun.rmi.transport.tcp.TCPTransport$ConnectionHandler.run0(TCPTransport.java:790)
at sun.rmi.transport.tcp.TCPTransport$ConnectionHandler.run(TCPTransport.java:649)
at java.util.concurrent.ThreadPoolExecutor$Worker.runTask(ThreadPoolExecutor.java:886)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:908)
at java.lang.Thread.run(Thread.java:662)
at sun.rmi.transport.StreamRemoteCall.exceptionReceivedFromServer(StreamRemoteCall.java:255)
at sun.rmi.transport.StreamRemoteCall.executeCall(StreamRemoteCall.java:233)
at sun.rmi.server.UnicastRef.invoke(UnicastRef.java:142)
at com.sun.jmx.remote.internal.PRef.invoke(Unknown Source)
at javax.management.remote.rmi.RMIConnectionImpl_Stub.invoke(Unknown Source)
at javax.management.remote.rmi.RMIConnector$RemoteMBeanServerConnection.invoke(RMIConnector.java:993)
at com.cisco.mse.common.util.JMXClient.performOperation(JMXClient.java:187)
at com.cisco.mse.common.util.JMXClient.objectInvoke(JMXClient.java:153)
at com.cisco.mse.common.util.JMXClient.performOperationFromUserInput(JMXClient.java:39)
at com.cisco.mse.common.util.JMXClient.main(JMXClient.java:14)

O erro é aparentemente de Java.

A maior parte dos arquivos do MSE estão em /opt/mse. Três subdiretórios eu gostaria de destacar que é: /opt/mse/installer, /opt/mse/unistall e /opt/mse/setup.
No primeiro encontramos a Base de dados e a ISO e no segundo uma série de script de configuração sendo o script setup.sh o principal deles.
Após algum tempo de verificação e a conclusão de que não era possível progredir, decidi por reinstalar.
A partir de uma máquina conectada via serial ao appliance, entrei no diretório /opt/mse/uninstall e executei o comando:

[root@mse uninstall]# ./uninstall.

É observado a seguinte saída:

About to uninstall...

Cisco Mobility Services Engine

This will remove features installed by InstallAnywhere. It will not remove
files and folders created after the installation.

PRESS <ENTER> TO CONTINUE:

===============================================================================

MSE is stopped, continuing uninstall operation...

===============================================================================
Retain High Availability Configuration
--------------------------------------

Do you wish to preserve High Availability role and pair configuration ?

->1- Yes
2- No

ENTER THE NUMBER FOR YOUR CHOICE, OR PRESS <ENTER> TO ACCEPT THE DEFAULT:
: 2

===============================================================================
Uninstall Database, License Files and Map Images
------------------------------------------------

Do you want to remove the database, license files, remote syslog server configuration and map images?

1- Yes
2- No

ENTER THE NUMBER FOR YOUR CHOICE, OR PRESS <ENTER> TO ACCEPT THE DEFAULT:
: 1

===============================================================================
Confirm Uninstallation - Primary MSE
------------------------------------

Uninstall options selected:

Preserve High Availability Configuration - No
Uninstall Database, License Files and Map Images - Yes

->1- OK to continue
2- Cancel

ENTER THE NUMBER OF THE DESIRED CHOICE, OR PRESS <ENTER> TO ACCEPT THE
DEFAULT:

===============================================================================
Uninstalling...
---------------

...*
*
*************************
*************************
*************************
************************
...*
*
*************************
*************************
*************************
************************
...*
*
*************************
*************************
*************************
*************************

===============================================================================
Uninstall Complete
------------------

Com isso, desinstalamos o MSE de nosso .

Após a desinstalação, vem a re-instalação. Para isso temos que navegar para /opt/mse/installers .Dentro desse diretório temos os seguintes arquivos:

[root@mse installers]# ls

CISCO-MSE-L-K9-7-4-100-0-64bit.bin database_installer_part3of4.zip

database_installer_part1of4.zip database_installer_part4of4.zip

database_installer_part2of4.zip dbinstaller

Para re-instalar basta rodar o arquivo .bin desta forma:

./CISCO-MSE-L-K9-7-4-100-0-64bit.bin

A saída é como se segue:

Preparing to install...
Extracting the JRE from the installer archive...
Unpacking the JRE...
Extracting the installation resources from the installer archive...
Configuring the installer for this system's environment...

Launching installer...

Preparing CONSOLE Mode Installation...

===============================================================================
Cisco Mobility Services Engine (created with InstallAnywhere by Macrovision)
-------------------------------------------------------------------------------

===============================================================================
Introduction
------------

InstallAnywhere will guide you through the installation of Cisco Mobility
Services Engine.

It is strongly recommended that you quit all programs before continuing with
this installation.

Respond to each prompt to proceed to the next step in the installation. If you
want to change something on a previous step, type 'back'.

Licensing on the Mobility Services Engine is enforced with the release of
software version 6.x and greater. Please have the Product Authorization Key
(PAK) and refer to the instructions in the User Guide to enable licensing.

PRESS <ENTER> TO CONTINUE:

===============================================================================

Installing MSE version: 7.4.100.0

===============================================================================
High Availability Role
----------------------

Select a high availability role for this server

->1- Primary
2- Secondary

ENTER THE NUMBER FOR YOUR CHOICE, OR PRESS <ENTER> TO ACCEPT THE DEFAULT:
:

===============================================================================
MSE Startup
-----------

Would you like the Cisco Mobility Services Engine to startup automatically at
system boot up?

->1- Yes
2- No

ENTER THE NUMBER OF THE DESIRED CHOICE, OR PRESS <ENTER> TO ACCEPT THE
DEFAULT:

===============================================================================
Pre-Installation Summary
------------------------

Please Review the Following Before Continuing:

Product Name:
Cisco Mobility Services Engine

Install Folder:
/opt/mse

Link Folder:
/tmp

Disk Space Information (for Installation Target):
Required: 2,531,801,347 bytes
Available: 515,381,497,856 bytes

PRESS <ENTER> TO CONTINUE:

===============================================================================
Installing...
-------------

[==================|==================|==================|==================]
[------------------|------------------|------------------|------------------]

===============================================================================
Database Installation
---------------------

The installer will now install the database. This may take a long time (up to
30 minutes). Do not cancel the installer.

PRESS <ENTER> TO CONTINUE:

===============================================================================
!!!! IMPORTANT NOTE !!!! :
--------------------------

The system is minimally configured right now. It is strongly recommended that
you run the setup script under /opt/mse/setup/setup.sh to configure all
appliance related parameters immediately after installation is complete.

The hostname must be set correctly on the system. The Cisco MSE platform will
NOT start if it is configured incorrectly or not configured at all.

Additionally, it is strongly recommended that the Cisco MSE be configured to
use the same NTP servers as the controllers with which it will be synchronized.
This is essential to the correct operation of the Cisco Mobility Services
Engine.

Both these parameters may be configured as part of the setup script.

PRESS <ENTER> TO CONTINUE:

===============================================================================
Installation Complete
---------------------

Congratulations. Cisco Mobility Services Engine has been successfully installed

Por hora temos um MSE re-instalado em um Appliance 3355 sobre um RedHat. Vamos ver os próximos passos
Após a instalação, temos que executar o script de configuração. Para isso temos que navegar até o diretório /opt/mse/setup:

[root@mse-bsb setup]# ./setup.sh

--------------------------------------------------------------

Welcome to the appliance setup.

Please enter the requested information. At any prompt,
enter ^ to go back to the previous prompt. You may exit at
any time by typing <Ctrl+C>.

You will be prompted to choose whether you wish to configure a
parameter, skip it, or reset it to its initial default value.
Skipping a parameter will leave it unchanged from its current
value.

Changes made will only be applied to the system once all the
information is entered and verified.

--------------------------------------------------------------

Current hostname=[hostname]
Configure hostname? (Y)es/(S)kip/(U)se default [Skip]:

Current domain=[domain]
Configure domain name? (Y)es/(S)kip/(U)se default [Skip]:

Current role=[Primary]
Configure High Availability? (Y)es/(S)kip/(U)se default [Skip]:

Current IP address=[IP]
Current eth0 netmask=[MASK]
Current gateway address=[GW]
Configure eth0 interface parameters? (Y)es/(S)kip/(U)se default [Skip]:

The second ethernet interface is currently disabled for this machine.
Configure eth1 interface parameters? (Y)es/(S)kip/(U)se default [Skip]:

Domain Name Service (DNS) Setup
DNS is currently enabled.
Current DNS server 1=[DNS]
Configure DNS related parameters? (Y)es/(S)kip/(U)se default [Skip]:

Current timezone=[Time Zone]
Configure timezone? (Y)es/(S)kip/(U)se default [Skip]:

Enter whether you would like to specify the
day and time when you want the MSE to be restarted. If you don't specify anything, then
Saturday 1 AM will be taken as default.

Configure future restart day and time ? (Y)es/(S)kip [Skip]:

Configure Remote Syslog Server to publish/MSE logs MSE logs.

A Remote Syslog Server has not been configured for this machine.
Configure Remote Syslog Server Configuration parameters? (Y)es/(S)kip/(U)se default [Skip]:

Enter whether or not you would like to change the
iptables for this machine (giving access to certain host).

Configure Host access control settings ? (Y)es/(S)kip [Skip]: y
Choose to add/delete/clear host for access control(add/delete/clear): add
Enter IP address of the host / subnet for access to MSE : 10.0.0.0

Network Time Protocol (NTP) Setup.

If you choose to enable NTP, the system time will be
configured from NTP servers that you select. Otherwise,
you will be prompted to enter the current date and time.

NTP is currently enabled.
Current NTP server 1=[NTP Server]
A second NTP server has not been defined.
Configure NTP related parameters? (Y)es/(S)kip/(U)se default [Skip]:

Audit rules Setup.
Configure audit rules and enable Audit daemon? (Y)es/(S)kip/(U)se default [Skip]:

Current Login Banner = [Cisco Mobility Service Engine]
Configure login banner (Y)es/(S)kip/(U)se default [Skip]:

System console is not restricted.
Configure system console restrictions? (Y)es/(S)kip/(U)se default [Skip]:

SSH root access is currently enabled.
Configure ssh access for root (Y)es/(S)kip/(U)se default [Skip]:

Single user mode password check is currently disabled.
Configure single user mode password check (Y)es/(S)kip/(U)se default [Skip]:

Configure root password? (Y)es/(S)kip/(U)se default [Skip]:

Login and password strength related parameter setup
Maximum number of days a password may be used : 99999
Minimum number of days allowed between password changes : 0
Minimum acceptable password length : disabled
Login delay after failed login : 5
Checking for strong passwords is currently enabled.
Configure login/password related parameters? (Y)es/(S)kip/(U)se default [Skip]:

GRUB password is not currently configured.
Configure GRUB password (Y)es/(D)isable/(S)kip/(U)se default [Skip]:

Configure NCS communication username? (Y)es/(S)kip/(U)se default [Skip]: U
The NCS communication username will be reset to "admin"

Configure NCS communication password? (Y)es/(S)kip/(U)se default [Skip]:

Please verify the following setup information.

-------BEGIN--------

Update MSE Host access control settings=Yes, Add/Delete host=add Server=10.0.0.0
NCS username is changed.

-------END--------

You may enter "yes" to proceed with configuration, "no" to make
more changes, or "^" to go back to the previous step.

Configuration Changed
Is the above information correct (yes, no, or ^): yes

------------------------------------------------------------

Setup will now attempt to apply the configuration.

Changing Firewall for the given server
Setting ncs username.
Restarting network services with new settings.
Shutting down interface eth0: [ OK ]

Shutting down loopback interface: [ OK ]

Bringing up loopback interface: [ OK ]

Bringing up interface eth0: [ OK ]

***Configuration successful***
Restarting MSE framework service.
Stopping MSE Platform
Flushing firewall rules: [ OK ]

Setting chains to policy ACCEPT: filter [ OK ]

Unloading iptables modules: [ OK ]

Starting MSE Platform

Flushing firewall rules: [ OK ]

Setting chains to policy ACCEPT: filter [ OK ]

Unloading iptables modules: [ OK ]

Starting Health Monitor, Waiting to check the status.
Health Monitor successfully started
Starting Admin process...
Started Admin process.
Database started successfully. Starting framework and services ...
Database started successfully. Starting framework and services .............
Framework and services successfully started

Exiting setup script...

Update MSE Host access control settings=Yes, Add/Delete host=add Server=10.0.0.0, NCS username is changed.
Success
[root@mse setup]#

Preenchido corretamente todos os campos solicitados no setup.sh, teremos um MSE ativo na rede. No meu caso, restava saber se os problemas foram resolvidos:

[root@mse setup]# /etc/init.d/msed status
STATUS:
Health Monitor is running
Starting MSE Platform, Waiting to check the status.
MSE services are up, getting the status

-------------
Server Config
-------------

Product name: Cisco Mobility Service Engine
Version: 7.4.100.0
Health Monitor Ip Address: 1.1.1.1
High Availability Role: 1
Hw Version: V02
Hw Product Identifier: AIR-MSE-3355-K9
Hw Serial Number:
Use HTTP: false
Legacy HTTPS: false
Legacy Port: 8001
Log Modules: -1
Log Level: INFO
Days to keep events: 2
Session timeout in mins: 30
DB backup in days: 2
[7m--More-- [m

[K
[7m--More-- [m
-------------
Services
-------------

Service Name: Context Aware Service
Service Version: 7.4.0.38
Admin Status: Enabled
Operation Status: Up

Service Name: WIPS
Service Version: 1.0.4041.0
Admin Status: Disabled
Operation Status: Down

Service Name: Mobile Concierge Service
Service Version: 2.0.0.37
Admin Status: Disabled
Operation Status: Down

Service Name: Location Analytics Service
Service Version: 1.0.0.12
Admin Status: Disabled
Operation Status: Down
[7m--More-- [m

[K
[7m--More-- [m
--------------
Server Monitor
--------------

Server start time: //////////////////////////////////////
Server current time: //////////////////////////////////////
Server timezone: //////////////////////////////////////
Server timezone offset: -10800000
Restarts: 0
Used Memory (bytes): 96994096
Allocated Memory (bytes): 514523136
Max Memory (bytes): 514523136
DB virtual memory (kbytes): 0
DB virtual memory limit (bytes): 0
DB disk memory (bytes): 2022057536
DB free size (kbytes): 0

-------------
Context Aware Service
-------------

Total Active Elements(Wireless Clients, Tags, Rogue APs, Rogue Clients, Interfer
[7m--More-- [m
ers, Wired Clients): 0
Active Wireless Clients: 0
Active Tags: 0
Active Rogue APs: 0
Active Rogue Clients: 0
Active Interferers: 0
Active Wired Clients: 0
Active Elements(Wireless Clients, Rogue APs, Rogue Clients, Interferers, Wired C
lients, Tags) Limit: 100
Active Sessions: 0
Wireless Clients Not Tracked due to the limiting: 0
Tags Not Tracked due to the limiting: 0
Rogue APs Not Tracked due to the limiting: 0
Rogue Clients Not Tracked due to the limiting: 0
Interferers Not Tracked due to the limiting: 0
Wired Clients Not Tracked due to the limiting: 0
Total Elements(Wireless Clients, Rogue APs, Rogue Clients, Interferers, Wired Cl
ients) Not Tracked due to the limiting: 0

-------------------------
Context Aware Sub Services
-------------------------

[7m--More-- [m
Subservice Name: Aeroscout Tag Engine
Admin Status: Disabled
Operation Status: Down

Subservice Name: Cisco Tag Engine
Admin Status: Enabled
Operation Status: Up

Tudo correto. Algumas informações foram modificadas intencionalmente.

Entretanto isso não é tudo. Ter um MSE up and running na rede não servirá de nada. Para que ele seja útil, é preciso integrá-lo aos demais componentes da rede wireless.

A imagem abaixo localizará o MSE na arquitetura:

Como visto acima, o MSE ocupa uma posição entre as WLC´s e o Cisco Prime. Ele se comunica com as WLC´s usando o protocolo NMSP (Network Mobility Service Protocol) e com o Prime através de SNMP (Simple Network Management Protocol).

Até a versão 8, o MSE não possui sequer uma interface gráfica. Ele é estritamente acessado e configurado via CLI.

Não existe, entretanto, um local no MSE onde configuramos a WLC ou vice-versa. Quem orquestra toda a comunicação é o Prime. É esperado que o Prime faça seu trabalho, porém, existe algo que pode ser feito manualmente, como veremos abaixo:

[root@mse ~]# cmdshell

cmd> show server-auth-info

invoke command: com.aes.server.cli.CmdGetServerAuthInfo

AesLog queue high mark: 50000

AesLog queue low mark: 500

----------------

Server Auth Info

----------------

MAC Address: 00:50:56:89:2b:4a

SHA1 Key Hash: b45bfbec4db0403c55a9d094963ed259b108a243

SHA2 Key Hash: a471b440b7dd6d972de9d4fe0733434ea6e0344ec2531d879a86df425ff1da39

Certificate Type: SSC

Essas informações devem ser obtidas no MSE. Na WLC precisamos fazer o seguinte:

(5508-1) >config auth-list add sha256-lbs-ssc 00:50:56:89:2b:4a a471b440b7dd6d972de9d4fe0733434ea6e0344ec2531d879a86df425ff1da3

Existe uma comunicação segura em SSL entre ambos.

A adição do MSE no Prime é simples e requer os seguintes parâmetros:

-Hostname

-IP

-Usuário

-Senha

Como sempre a informação de Contato é opcional. Não vou mostrar aqui porque não tenho acesso a um Prime nesse momento. Mas é muito simples e intuitivo.

Assim chegamos ao fim do artigo. Eu o considero muito útil porque ao ter deparado com o problema, não encontrei nenhuma informação em português para ajudar. Fica,então, essa fonte como referência.

Tuesday, November 4, 2014

Oversubscription

A definição de Oversubscription é :
"Refers to connecting more users to a system than can be fully supported if all of them were using it at the same time. Networks and servers are almost always designed with some amount of oversubscription, counting on the fact that not everybody needs the service at maximum speed simultaneously. If they do, delays are certainly the result, and outages may occur."
A definição está relacionada diretamente a algo chamado de Dimensionamento. Dimensionar, seja o que for, está relacionado a um profundo conhecimento daquilo que se está dimensionando. Eu particularmente me interesso muito por esse assunto e o considero um dos mais desafiadores dentro de TI.
O jargão oversubscription em TI é usado de forma a representar o quanto de dimensionamento é necessário em um determinado ponto da rede para suportar uma determinada demanda. O efeito colateral de um mal dimensionamento é referido como Bottleneck, ou, pescoço de garrafa.
Os pontos da rede onde esse conceito é mais exigido é no dimensionamento entre a quantidade de portas de um switch em função do uplink.
Em um switch de 24 portas de 1 Giga, temos 24 Giga de capacidade total. A situação ideal sugere que tenhamos um uplink de 24 Giga, porém, no mundo real isso não é factível.
Existe uma série de considerações que podem ser feitas nesse tipo de cenário inclusive o tipo de aplicação em uso. Ouvi uma história uma vez que quando uma equipe de TI estava configurando a rede da Bovespa, em virtude da criticidade do negócio, foi pensado um Oversubscription de 4:1. Isso significa que a cada 4 portas de 1 Giga no Switch, haverá uma porta de 1 Giga de Uplink.
Tamanho foi a surpresa dessa equipe quando ela foi visitar a bolsa de Nova York e descobriram que eles usavam um oversubscription de 20:1. Eu não tenho como comprovar a veracidade desta história, mas o super dimensionamento pode acontecer por culpa de vários fatores, o principal deles é o desconhecimento.
De uma forma ou de outra, esse assunto é controverso e coloca em xeque o conhecimento de muita gente experiente. Muitas vezes é preciso conhecer muito bem a rede para chegar a um valor ideal.
Como o foco deste blog neste momento é Wireless, vou discorrer um pouco sobre Oversubscription relacionado a Wireless.
O fator que dificulta dimensionar a demanda para Wireless é saber quanto de Duty Cycle acontecerá na rede. Duty Cycle é por quanto tempo a rede está sendo usado, é percentual tempo x utilização.Na verdade é impossível saber qual será o Duty Cycle em uma rede de usuários. Uma câmera, por exemplo, tem 100 % de Duty Cycle. Isso significa que, uma vez ligada, ela transmitirá 100% do tempo.
Vamos considerar um AP com 802.11n com os dois rádios ativos. Considerando 100% Duty Cycle, rádio de 2.4 Ghz a 144 Mbps,já que estamos falando de uma comunicação Half-duplex, teremos de 70 a 75 Mbps na rede cabeada.
Para o rádio de 5 Ghz com canal de 40 Mhz, teremos um demanda de 300 Mbps, o que significa algo em torno de 150 Mbps na parte cabeada.
Como dissemos acima, nosso AP possui os dois rádios ativos, logo, estamos falando de 75 + 150 Mbps, o que resulta em 225 Mbps na rede cabeada.
O cálculos acima foi feito considerando 100% Duty Cycle, o que não acontece na realidade o tempo todo.
Outro ponto onde temos que considerar o Oversubscripion é nas portas da Controller. Considerando APs em local mode, onde todo o tráfego da rede é direcionada para a Controller, é preciso dimensionar as portas da Controller para receber e dissipar o trafego corretamente. De acordo com o material Quick Reference para a prova CUWSS, 20 : 1 é considerado aceitácel.
Isso significa, em termos práticos que se todos os APs juntos gerarem 160 Giga, precisaremos que todas as portas de uma Controller 5508 estejam ativas e operacionais.
Um material espetecular sobre o assunto é o "Aerohive_High-Density_Wi-Fi-Design-Config-Guide_330073-02", disponível para download.
Outra fonte de informação valiosíssima é o Blog : Revolutionwifi
.Nesse blog podemos assistir a uma série de vídeos sobre High-Density Wi-Fi Design, que discute a parte mais interessante de Oversubscription em Wireless que é determinar quando de demanda é gerada por uma determinada aplicação. Considerando Notebooks, Tablets, etc.
Eu recomendo muito o Blog. Abaixo segue um dos vídeo:

Esse assunto pode reder vários outros artigos e é isso que pretendo fazer. Estudar com mais detalhes várias situações onde a implementação de Oversubscription é crítico e discutir aqui em forma de artigos.

Monday, November 3, 2014

Falta de Material para CCNP Wireless

Até agora eu tenho seguido a seguinte metodologia de estudos: Ler material , assistir vídeos, fazer exercícios.
A leitura de material vem sempre antes mas concatenado com vídeos, dependendo do momento e local. Ambos tem a mesma importância sendo que o vídeo muitas vezes é mais didático. Mas nada substitui 'papirá', como se dizia no Exército, um bom material.
Infelizmente a Cisco, como já havia manifestado no post anterior:
cisco-smallcell
não dispões no momento de um material oficial. Felizmente o Quick Reference disponível é bastante bom. Porém, se compararmos ,por exemplo ,o Quick Reference do CCNA Wireless com o material oficial, eu tenho ambos, é possível ver uma grande diferença. O material oficial para o CCNA é bem mais aprofundado.
Uma saída que eu indico, e tenho usado, é estudar o ótimo material do CWNP. Existe sempre alguma certificação similar entre as duas entidades. Por exemplo, para o CUWSS (Site Survey), o material do CWDP (CWDP Certified Wireless Design Professional Official Study Guide, Shawn M Jackman) cobre incrivelmente bem. O material é bem mais detalhado que o da Cisco, acredito que em todos os níveis. Isso é ótimo.
Devido ao preço de uma prova Cisco, a preocupação com o material é justificável. Eu ja posterguei muitas vezes minhas certificações por questões financeiras, de forma que nao ter uma fonte de pesquisa confiável, adiciona uma dose de risco enorme no processo.
Felizmente a empresa que trabalho hoje paga as certificações, mas são cada vez mais raras as empresas que fazem isso. Afinal, se uma empresa não possui um plano de carreira, é melhor para ela realmente não pagar certificações ou ela vai estar formando profissionais para o mercado.
Daqui a alguns dias vou escrever um post só com questões que encontrei na internet e vou comentá-las. Isso me ajudará a fixar e pode ajudar outras pessoas também.
Braindump do tipo Pass4sure precisa ser visto de forma crítica. Não dá para ignorar de forma alguma, eu considero esta etapa fundamental na preparação. O que não pode acontecer é a pessoa pular etapas e ficar apenas com os Braindumps.
Em fim, acredito ser importante compartilhar essas experiencias porque eu já me vi sem confiança para fazer uma prova, mas hoje tenho mais e mais confiança nos meus métodos e acredito que pode ser útil para outros.

Friday, October 31, 2014

Cisco SmallCell

Venho falando de mobility através deste blog desde 2011 e, mesmo sem conhecer grande parte do que conheço hoje, já imaginava que haveria mais e mais uma integração entre redes Wifi e redes Celulares.
Isso vem acontecendo com muita intensidade a medida que as operadoras de celular perceberam que oferecer cobertura e atender a demanda exponencial dos últimos anos é praticamente impossível usando apenas as tradicionais antenas penduradas em torres, como vemos o tempo todo.
Não conheço do assunto de torres e antenas, mas não é difícil pressupor que os investimentos e a burocracia relacionados as essas atividades devem ser enormes. A prova disso é a deficiência na cobertura e desempenho que qualquer um sente ao afastar alguns quilômetros de um grande centro.
Falta de cobertura longe dos grandes centros, falta de desempenho nos grandes centros devido a alta demanda, esta tem sido a tônica do serviço celular.
Visando amenizar essa situação, novas tecnologias vem sendo disponibilizadas no mercado. Um grande exemplo são as smallcell oferecidas pela Cisco:
http://www.cisco.com/c/en/us/solutions/service-provider/small-cell-solutions/index.html

No link acima é possível ver o grau de imersão que a Cisco vem alcançando nesta direção. Indo desde a borda até o Core.
Porém, meu objetivo aqui não é falar de tecnologia mas apontar uma falha cometida pela Cisco em minha opinião.
Com uma abrangência cada vez maior neste tipo de tecnologia, porque a Cisco mantem o curriculum de Wireless restrito a 802.11 ? Realmente não compreendo.
Alguém poderia dizer que isso deve acontecer no futuro próximo, e eu acredito, mas porque uma empresa de vanguarda e detentora do programa de certificações mais bem sucedido entre todas as empresas, pode ser tão lenta e até omissa em relação a certificação de Wireless ?
Em 2012 quando comecei a pensar em CCNA Wireless, ainda era a prova 640-721, com previsão de maio de 2012 mudar para 640-722.
Pois bem,apenas em maio de 2014,dois anos depois, foi lançado o material oficial da certificação. Durante todo esse tempo, quem quisesse fazer a prova não tinha um material oficial para se basear.
O mesmo ocorre com o CCNP. Não existe um material decente do fabricante para essa certificação. Não fosse por Gerome Henry, não haveria era nenhum material.
A meu ver, além de material atualizado, a Cisco já deveria ter integrado ao Curriculum de Wifi toda a parte de 3G/4G. Isso valorizaria imensamente o Curriculum e formaria profissional para uma área que hoje é dominada por meia dúzia de profissionais que trabalham nas 2 ou 3 operadoras no mercado.
Ainda que não fosse adicionado a nível de CCNA, poderia ser um plus para CCNP e principalmente para CCIE.
Uma vez que a própria Cisco parace pretender transformar a administração de infra Wireless em plug and play, com a compra e ampliação da Meraki, dedicar um CCIE apenas para 802.11 me parece um pouco frustrante.
Eu vou obter a certificação CCNP Wireless, talvez até CCIE, mas espero que a Cisco consiga até lá corrigir essa falha e, caso a certificação CWNP consiga sair na frente, já que eles tem se mostrados muito mais organizados e focados que a Cisco, se tornar CWNE passaria a ser meu objetivo e não CCIE.
Em fim, esse post foi apenas um desabafo a respeito do gap deixado pela Cisco, a meu ver, sem o menor sentido e até anti-comercial para eles próprios.

Tuesday, October 28, 2014

Adjacent Channel (ACI) e Co-Channel Interference (CCI)

O nível de conhecimento de uma determinada tecnologia é totalmente relativo e isso permite a todos conviverem com ela de uma forma ou de outra. Da mesma forma que alguém instala um Access Point que acabou de comprar em um hipermercado qualquer, sem o menor conhecimento sobre Wifi, em ambientes corporativos analistas se descabelam para entender o nitty-gritty de uma rede Wifi e ainda assim, convivem muitas vezes com várias reclamações.
O motivo de uma rede residencial funcionar relativamente bem é que, mesmo tendo em torno de 10 dispositivos em casa, uma rede residencial existe basicamente em função de acesso a internet. Ainda que o vizinho esteja usando o mesmo canal que o seu, tanto o vizinho da esquerda como o da direita,quanto o da frente e o dos fundos, no fim, ainda é possível conseguir um desempenho razoável. Considerando uma internet residencial de 10 Mbps, e considerando um AP com 802.11n com uma velocidade de 75 Mbps teórico(TP-Link de 50 reais ), ainda que na prática consideremos 30 Mbps, estamos com uma velocidade 3 vezes maior do que o gargalo da rede que é a conexão com o provedor de 10 Mbps.
Para velocidades de internet maiores, já existe 100 Mbps disponíveis em muitos lugares, talvez até mais, o cenário acima já poderá ficar crítico. Pagar um link de 100 Mbps e usar uma fração dele devido a rede Wifi mal configurada não é legal, mas vai acontecer mais e mais por vários motivos.
Provedores como a NET, por exemplo, fornecem serviço de Wifi para conexões de internet mais rápidas que 10 Mbps. Porém, o serviço deles de implantação de Wifi é da mesma qualidade do que os demais serviços. Eles simplesmente jogam o roteador em sua casa.
No meu caso, eu já tinha um AP em funcionamento, eles adicionaram o deles e se quer verificaram qual canal o meu AP estava. Existem um monte de sofware de graça na internet que mostra quais as redes e os respectivos canais.
Pois bem, considerando o grau de abrangência do provedor e a forma com que as redes são implementadas, imaginem a qualidade das redes Wifi.
Isso não é um "Reclame Aqui" mas é crítico a forma como é feito.
Em fim, a idéia do artigo é discutir dois fenômenos que acontecem nos cenários acima. Interferencia entre canais adjacentes e co-channels. Não vou traduzir o últimos porque acho que fica bem melhor desta foram.
Primeiro vamos as definições.

Acima temos o spectrum de 2.4 Ghz. Ele é dividido em 14 canais de 22 MHz e a utilização dos mesmos depende do país. Aqui no Brasil usamos os canais 1,6 e 11. Esses canais são chamados de Adjacentes pelo IEEE, o que confunde quando estamos falando de interferência. Neste caso, canais adjacentes são, por exemplo, Canais 1 e 2.
Em resumo, o IEEE considera canais Adjacentes os canais que não se sobrepõem e podem ser usados sem que um interfira no outro.
Porém, quando estamos falando em interferência de canais adjacentes, estamos falando de canais que se sobrepõem.
Interferencia de Co-Channel é quando você e seu vizinho estão utilizando o mesmo canal. Por exemplo, a maioria dos fabricantes configuram seus APs na fábrica para o canal 1, desta forma, é muito comum haver mais redes neste canal. Ocorre das pessoas colocarem o seu AP no Canal 2, porque elas não querem dividir o Canal 1 com os demais. Temos toda a problemática sobre a qual gostaria de discutir com o artigo.
Se essa pessoa mantivesse o seu AP no Canal 1, o prejuízo seria muito menor do que ele colocar no AP no Canal 2. Fazendo isso, ele está provocando interferência em canais adjacentes e prejudicando todas as redes Wireless da vizinhança.
Se ele mantivesse o AP no Canal um, ele estaria provocando interferência de Co-Channel, o que é manos danoso do que interferência por canais adjacentes.
Para compreender o porque, precisamos ir um pouco mais a fundo na tecnologia Wifi.
Dispositivos Wireless possuem dois mecanismos para verificar se pode ou não transmitir. Isso pode ocorrer em camada 1 e camada 2.
Em camada 1, o dispositivo analisa fisicamente o meio e espera perceber alguma alteração que lhe possibilite concluir que algum outro dispositivo esteja enviando informação(Clear Channel Assessment-CCA). Para que CCA compreenda o meio como ocupado, ele precisa conseguir decodificar o preambulo de um quadro sendo transmitido. Se isto ocorrer, CCA é capaz de informar que o meio está ocupado. Ainda existe um mecanismo chamado de Energy Detection - ED.
Estes métodos são poucos confiáveis e, por isso, um segundo método é utilizado a nível de camada 2 baseado na informação de um campo do quadro chamado NAV (Network Allocation Vector). Neste campo é informado por quanto tempo o dispositivo usará o meio.
Quando um dispositivo intenciona transmitir, ele ´sniffa´o meio e verifica o campo NAV dos quadros que estão em trânsito para ajustar o seu mecanismo de acordo com esta informação. Ele então pega um numero aleatório, geralmente 31, soma ao número verificado no NAV e começa a decrementar. Quando chegar em 0, se o meio estive livre, ele aloca o meio para si e transmite sua informação. Se o meio estiver ainda ocupado, ele dobra o valor aleatório, soma com o NAV e começa novamente.
Isso tudo ocorre em milésimos de segundos e, apesar de aparecer tão trabalhoso, é o que temos para transmissão Wireless.
Quando dois dispositivos estão em canais adjacentes, o segundo mecanismo de verificação não funciona. Um dispositivo não compreende as informações enviadas pelo outro, tendo que confiar apenas na primeira forma de prevenção, que é muito mais falha que a segunda. Desta forma, haverão muito mais colisões. Colisões ocorre quando dois dispositivos falham em verificar o meio e transmitem ao mesmo tempo, ocasionando a perda completa de todas as informações.
O resultado é retransmissões constantes e lentidão certa.

Friday, October 24, 2014

Predictive Site Survey,Layer 1 Site Survey and Layer 2 Site Survey. What is it for ?

Alguns insites sobre Site Survey, ao qual vou chamar de SS por comodidade.
Os materiais disponíveis para a certificação de SS insistem sempre em alguns pontos que, a rigor, não são válidos apenas para um SS. Por exemplo, levantar informações sobre um cliente antes de realizar uma reunião de Kickoff, identificar dentro do cliente as pessoas que possuem autoridades para tomar decisões, levantar informações a respeito do que o cliente precisa,obter informações detalhadas dos locais onde irá atuar,etc.
Todas essas atividades são, na verdade, um conjunto de boas práticas que devem ser aplicadas em qualquer tipo de atividade. Elas são, na verdade: Planejamento.
Mas certamente vale a pena reforçar cada uma delas. Independente se estamos falando de um SS ou qualquer outra atividade prestada para um cliente, planejar nos mínimos detalhes é fundamental. Afirmar isso não faz de ninguém mais organizado, por em prática no dia-a-dia é outra questão. Recordo que em 2008 mais ou menos, fui fazer um Assessment em um cliente em Guaratinguetá, e chegando lá não pude entrar porque era exigido um mínimo de EPI para ir até o local. Eu não tinha. Uma outra viagem foi programada para que eu pudesse realizar a visita.
Isso são falhas que acontecem o tempo todo, principalmente em empresas de menor porte, mas pode acontecer em qualquer lugar.
Saber o que faz o cliente, qual o tipo de ambiente onde será executado o serviço e quais são as exigências mínimas para trabalhar em tais ambientes(Existem ambientes que requer treinamento especícos) são premissas que as empresas devem estar cientes. Mesmo que você seja, como eu era, apenas o técnico que vai até o local, você pode e deve averiguar estas informações. Não importa que exista na empresa outras pessoas cuja função é fazer este trabalho. Afinal, quem terá que passar por todo o transtorno é voce.
Algumas informações importantes e específicas de SS seriam, a nível de Kickoff, qual é a demanda; Uma instalação nova, um upgrade ou a resolução de um problema dentro de uma rede em produção, Talvez desta forma não pareça tão específico, mas podemos torná-lo mais específico com perguntas do tipo, se é uma instalação nova, para quantos usuários ? Será uma rede de dados ou terá voz e location ? Terá RFID ?
Se for um upgrade podemos levantar as seguintes informações: Será mantidos possíveis clients que ainda usem 802.11b ? Será um upgrade para qual tecnologia? Manter clients que usem 802.11b irá degradar em muito a performance da rede e fazer upgrade para 802.11n significa abandonar tecnologias legadas como TKIP.
Se o caso for um troubleshooting em uma rede em produção a quantidade de perguntas será ainda maior mas podemos começar com o básico: O que ocorre na rede ?
Desta forma, já temos duas etapas a serem pensadas: Levantamento de informações pré-kickoff e questionamentos durante o Kickoff.
Uma vez definida as diretivas básicas, o processo continua. Agora, provavelmente será hora de planejar o SS propriamente dito e tendo aprofundado na obtenção de informações dos requerimentos do cliente, é hora de organizar todo o material necessários bem com as estratégias.
Se for preciso viagens, é preciso alinhar com gerências os custos. Se for preciso obter algum material será preciso alinhar com outros setores da empresa.
Voltanto para aspectos mais técnicos, a primeira coisa a fazer é planejar uma SS Layer 1. Há quem diga que um Pre´SS não é muito importante. Eu acho que um SS Layer 1 é muito importante. Saber como está organizado o Spectrum em um determinado ambiente é fundamental a meu ver.
Se for um ambiente compartilhado, nem sempre você terá condições de obter informações detalhadas das demais empresas que compartilham o local. Seu cliente poderá vir a ser visinho de um enorme call center com centenas de HeadSet usando Blue Tooth. Ou, uma fábrica que possui máquinas que geram uma enormidade de ruídos.
É sempre importante ter em mente que implantar uma rede Wifi é compartilhar o spectrum de 2.4 e 5.0 Ghz. Não há como exigir exclusividade.
Para um SS Layer 1, uma ferramente muito indicada é o Cisco Spectrum Expert.

-Figura 01.

A Figura 01 mostra a tela do Spectrum Expert da Cisco com suas janelas padrões. Mas o sistema todo é formado pelo Software, por um Cardbuss e por uma antena.
É importante nesta etapa conhecer o local da melhor forma possível. Medir se possível, tirar fotos se possível.
Ainda que uma das informações necessárias seja uma planta do local, é importante conhecer pessoalmente.
Não é esperado de um Analista de Redes uma capacidade muito apurada para "ler" plantas baixas de prédios. Por isso, quanto mais informações forem colhidas durante uma visita ao local, melhor. É muito importante também aproveitar a visita e validar a infraestrutura de redes do Cliente. Afinal, os Access Points e Controllers serão conectadas na rede.
É importante averiguar espaço em Racks, verificar condições de alimentação elétrica, principalmente se os switches não possuirem PoE.
Também é preciso verificar as condições de cabeamento e possibilidade de instalação de Access Points.
Certa vez tive um cliente que era um Hotel luxuoso em Ilhabela. Eles não permitiam que os Access Points e/ou antenas ficassem visíveis.
Era um desafio realizar qualquer serviço no local.
Após realizar um SS Layer 1, é hora de executar um SS Layer 2.
No SS Layer 2 iremos posicionar os Access Point nos locais mais adequados possíveis. Tendo todas as informações obtidas na primeira etapa, é hora de realizar a implantação de rede Wireless, ainda que virtualmente, nesta etapa.
Existem alguns softwares disponíveis para tal tarefa. Eu fiz alguns testes com o WCS mas acredito, apesar de ainda não conhecer, que o Ekahau seja melhor.
É importante, nesta etapa, conhecer conceitos de Wireless como sobreposição de Células dependendo do objetivo da rede.
Uma informações importante é que, tão importante quanto um pré Site Survey, é um Pós Site Survey.
Já vi especialistas afirmarem que o segundo é mais importante que o primeiro. E acredito que seja realmente.
Nesta etapa, é possível visualizar como ficou a distribuição do sinal e realizar ajustes caso necessário.
Em fim, do que li até agora sobre SS, não há muito mais a dizer. Com mais ou menos detalhes, o que eu coloquei aqui contempla as atividades básicas para um SS.

Wednesday, October 22, 2014

CCNP Wireless - Site Survey

Dando início a jornada rumo ao CCNP Wireless, comecei pelo que todos recomendam: CUWSS - Conducting Unified Wireless Site Survey.
Como o CCNP Wireless não possui nenhuma prova prática, o Site Survey, que é uma atividade extremamente prática, é abordada de forma conceitual. Isso deixa essa matéria, por vezes tão interessante, um pouco chata em certos aspectos. O que ajuda a melhorar o interesse são os inúmeros vídeos na Internet e principalmente a vontade de fazer no próximo projeto o que é ensinado na teoria.
Trazendo a discussão um pouco além da certificação, eu acredito que a atividade do Site Survey é bastante negligenciada. Mesmo em ambientes extremamente grandes, não é uma preocupação muito presente.
Eu atribuo isso a duas coisas: Primeiro ao custo, segundo a cultura. Custo porque considerando uma empresa de grande porte com atuação em âmbito nacional, um site survey em todos os sites poderia tornar muitos projetos impraticaveis.
É considerado um número de 8 a 10 Access Point por dia ao fazer um Site Survey. Considerando uma empresa com mais de 2000 Access Point, estamos falando de nada menos que 250 dias de trabalha de um técnico capacitado com pelo menos mais um auxiliar. Ou seja, um ano de trabalho apenas para uma atividade de preparação.
O segundo motivo é a cultura. Redes Wireless ainda são pensadas em termos de cobertura e não de performance. Implantar uma rede levando em conta basicamente a cobertura não é difícil. Com uma planta do prédio e uma ferramenta de Site Survey "Predictive" como o WCS, é possível posicionar os Access Point de forma a oferecer um boa cobertura por toda a área. Mesmo dependendo apenas do bom senso do time de implantação é possível alcançar um resultado satisfatório. Como inclusive eu já presenciei num passo recente.
Outro ponto é o fato das atividades de implantação serem dividas entre integrador e clientes. Muitas vezes o cliente fica com a tarefa de implantar os Access Point. Isso propicia uma redução de custo considerável se considerarmos uma rede espalhada por todo o país.
Não se pode esperar que a equipe técnica do cliente tenha condições de realizar o site survey.Esta atividade exige um conhecimento aprofundado do espectro eletromagnético bem como de comportamentos esperados e indesejados dentro deste espectro.
Em fim, de uma forma ou de outra, essa atividade acaba por ficar de lado em muitos projetos. Apesar do resultado final muitas vezes ser satisfatório mesmo não realizando o Site Survey, com a exigência cada vez maior em relação as Redes Wireless, será preciso mudar esse paradigma.
O Site Survey possibilita obter um conhecimento profundo do espectro onde a rede está sendo implantada. Possibilita descobrir se a rede está em um ambiente saturado em uma determinada banda ou se é acometida de alguma interferência provocada por algum sistema próximo.
O resultado final leva a uma rede adaptada para o ambiente em questão e, consequentemente, em condições de propiciar um serviço melhor aos usuários.
Acredito que com a integração cada vez maior entre as ferramentas de colaboração, trazendo cada vez mais o serviço de voz para o ambiente sem fio, forçará as empresas a desenvolver redes Wireless cada vez mais confiável e de alto desempenho. O que dará,inevitavelmente ao Site Survey, a importância necessária dentro das empresas a ponto de um projeto de uma rede Wireless passar,invariavelmente, pela execução de um Site Survey.

Friday, October 17, 2014

CCNA Wireless - Finally !

Há mais de uma ano atrás fiz um track para meu CCNA Wireless e postei váras coisas aqui. Áquela época, eu trabalhava em outra empresa e, apesar do meu interesse, não havia uma motivação para investir na certificação porque minhas atividades se concentravam muito mais em R&S e Security do que em Wireless e, além do mais,a empresa não bancava.
Atualmente atuo em uma função totalmente voltada para projetos Wireless e, além disso, a empresa facilita demais o acesso à certificações. Resultado, hoje tirei meu CCNA Wireless.. Meu plano é obter CCNP Wireless em menos de um ano.
Como é esperado de quem fez a prova, algumas dicas:
Estude o material oficial 840-722 até você se sentir confortável com todos os tópicos. O tempo obviamente depende da capacidade de absorção de cada um. Assista vídeos 'as much as you can'. Essas dicas são para quem quer conhecer o assunto e não apenas ter um certificado.
Após se sentir familiar com a teoria, responda questionários. O próprio material do CCNA tem muitas questões, por volta de 10 perguntas por capítulo. Outro material bom para a prática é o da Actual Test "Implementing Cisco Unified Wireless Networking Essentials v2.0",
Se conseguir 80% neste material, pode marcar a prova.
No meu teste, como é esperado, não caiu nenhuma configuração. Não caiu Drag and Drop..
Se você não tem hands on, ou seja, se você não acessa equipamentos reais, procure acessar. É possivel emular uma Controller com VMware. Existemm questões onde é preciso saber qual o caminho para realizar uma tarefa. O mesmo vale para o WCS. Que também é possível rodar em VM. A Cisco disponibiliza um Trial em seu site.
Por exemplo, umas das questões que caiu em minha prova era: Em qual menu é preciso entrar para configurar Web-auth e havia algumas opções. Alguém que não tenha familiaridade com os menus da Controller, pode ficar na dúvida.
Não caiu nenhuma questão para converter dBm para mW e vice-versa. Eu estava bem preparado para isso e recomendo que se preparem porque uma outra pessoa que fez a prova recente pegou várias questões destas.
O tempo da prova foi muito mais que suficiente. Eu fiz a prova com meia hora e tinha 1 hora e 40, isso em ingles, em português acho que é um pouco menor.
Então é isso. Vou iniciar meu track para o CCNP Wireless e já comecei a estudar para a primeira prova que vai ser Site Survey.
A medida que for conseguindo mais conhecimento, vou continuar a usar esse blog para Self Study e espero com isso poder ajudar algem.

Tuesday, October 7, 2014

Unlock Cisco ISE CLI Admin Password

Few days ago I saw myself in a tough situation. A client of mine, or of the company I work to, emailed me informing that he wasn´t able to access the ISE located in a third-part Data Center. As I am responsible for the project and I am closer the Data Center, it is expected that I should go locally unlock the password.
Taking a look at Cisco documentation, after all, I´ve never did it before, all the informations pointed to take a DVD drive to de Data Center with a DVD burned ISE ISO image and reset the password. I even didn´t have such stuff and was not willing to get this. Then I decide to use the Second way: Bootable Pendrive.
The process of unlocking the password is really straightforward but to get the bootable pendrive is a little bit hard.
I will show bellow some importants tips in order to get a bootable pendrive ready and running in a easier way:
Pre-requisits:

-Pendrive 8 G

-Virtualbox

-Linux machine with RHEL-5.x, RHEL-6.x, CentOS-5.x, or CentOS-6.x.

-Script iso-to-usb.sh

-ISE 1.2 ISO image

1 - Starting with the Virtual machine, you can download one ready to run right here:

http://sourceforge.net/projects/virtualboximage/files/CentOS/5.6/Centos-desktop-x86_64.7z/download

I don´t know of course how long this link will be available but for now I´m sure it is.

2- the next step will be download a script called iso-to-usb.sh. You can find it easilly on the Internet. I am gonna put here another link where you can download for now:

https://www.dropbox.com/s/k2q1o069i277glg/ISE_12_USB_Installation_tool.zip

This script needs to be inside the virtual machine in any directory by your choice. You can either download directly on the VM or you can transfer to that using a pendrive.

3- Download the ISE ISO image. Again this need to be on the VM and on the same directory of the script.

Once accomplished that, you will be ready to go.
4- Using a command prompt on the VM, give permission to the script :
chmod u+x iso-to-usb.sh

5 - Finally run the following command :
iso-to-usb.sh source_iso usb_device.

In my case, looks like that:

./iso-to-usb.sh ise-1.2.1.198.x86_64.iso /dev/sdb

The whole process takes about 10 minutes and, if everything works fine, ends with a Successfull mensage on the screen.

You can test you pendrive using any PC out there. Just configure it to boot from a bootable pendrive and reboot it. If you get the following screen great:

Now, that you have a ready pendrive bootable it is time to go to the ISE server e unlock the password.

First, connect the pendrive in one USB port infront of the server. Then, reboot the server and press F2 to enter in BIOS setup. Once that, go to the last tab and follow the instruction:

Reboot the server and the next screen will allow you to reset the passord:

Press 3 and Change the password.