Switch Neustart via SNMP (Windows)

Publiziert am 20. Mai 2012 von wp_admin

Wenn ein Switch nicht mehr via Telnet oder SSH ansprechbar ist (Speicher voll, Prozess abgestürzt) ist SNMP hilfreich, um einen Switch aus der Ferne durchzustarten.

Leider hat man nicht immer Linux mit den SNMP Tools zur Hand …

Abhilfe schaffen die Windows SNMP Tools (net-snmp tools) von Eli Fulkerson. Mit dem Programm snmpset.exe und dem dazugehörigen MIB kann der Switch dann neu gestartet werden.

Auf dem Switch muss SNMP auf den Switchen konfiguriert sein:
Auf einem Cisco Switch sind das folgende Befehle:
snmp-server community [RO-PASSWORT] RO
snmp-server community [RW-PASSWORT] RW
snmp-server system-shutdown
Dann kann der Switch mit folgendem Befehl durchgestartet werden:
snmpset -v:2c -c:"RW-PASSWORT" -r:[IP VOM SWITCH] -o:.1.3.6.1.4.1.9.2.9.9.0 -val:2 -tp:int

Danach startet der Switch neu und ist meistens wieder erreichbar.

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , | Hinterlasse einen Kommentar

Cisco Switch Makro (Switch Macro)

Publiziert am 17. Mai 2012 von mkruseonline

Ein nicht sehr bekanntes Feature von Cisco sind Makros. Diese Funktion ist aber sehr hilfreich (habe ich HIER schon mal angesprochen) und können die Konfiguration der Switche und Switchports sehr erleichtern. Die Makros können global oder per Interface angewandt werden. Somit können Makros für fast alles verwendet werden.
Ein Makro besteht aus einer Reihe von Befehlen, die beim Aufruf ausgeführt, bzw. eingetragen werden. Es ist auch möglich, mit Variablen zu arbeiten. Die Werte der Variablen werden beim Aufruf des Makros mit übergeben.
Makro erstellen:
#Makro erstellen mit dem Namen ACCESS
macro name ACCESS
#$port ist die eine Variable um den Port zu wählen, der Befehl default setzt den Port auf die Grundeinstellungen zurück
default interface FastEthernet$port
#Wieder die $port Variable, um den Port zu wählen, $vlan, um das Access VLAN zu setzen
int gi$port
description AccessPort
switchport access vlan $vlan
switchport mode access
spanning-tree bpduguard enable
#Jedes Makro wird mit @ beendet
@

Um jetzt einen ACCESS Port zu konfigurieren, muss nur noch folgender Befehl ausgeführt werden:
macro global apply [Name des Makros] [Definition der Variablen]

Makro ACCESS anwenden
macro global apply ACCESS $port 12 $vlan 10

Dieses hier war als Beispiel ein globales Makro, welches den Port 10 auf VLAN 10 konfiguriert.
Makros können auch Portweise angewandt werden, zum Beispiel für eine Port Range.

Hier mal zwei Beispiel Makros, das Erste um den Port (die Ports) zurückzusetzen:
macro name default
No macro description
description default no config
switchport mode access
no switchport access vlan
no switchport port-security
no switchport port-security violation
no switchport port-security maximum 2
no switchport port-security mac-address sticky
no switchport port-security aging time 1
no switchport port-security aging type inactivity
no ip arp inspection limit rate 10
no storm-control broadcast level pps 50
no storm-control multicast level pps 100
no storm-control action shutdown
no storm-control action trap
no spanning-tree portfast
no spanning-tree bpduguard enable
no ip dhcp snooping limit rate 20
no ip verify source
no ip dhcp snooping trust
no ip arp inspection trust
shutdown
@
Damit werden alle vorhandenen Einstellungen von dem Port entfernt.

Das zweite Makro konfiguriert den Port als Access Port:
macro name ACCESS
# member of ACCESS vlan
description user_$vlan $descr
switchport access vlan $vlan
# no tagged interface, no trunk
switchport mode access
# storm control, broadcast 50, multicast 100
storm-control broadcast level pps 50
storm-control multicast level pps 100
storm-control action shutdown
storm-control action trap
# Enable port security limiting port to a 2 MAC
# addressess -- One for desktop on data vlan and
# one for phone on voice vlan
switchport port-security
switchport port-security violation protect
switchport port-security maximum 2
switchport port-security aging time 1
switchport port-security aging type inactivity
# spanning tree enabled, incl. BPDU-Guard
spanning-tree portfast
spanning-tree bpduguard enable
no shutdown
@
Die Ausführung ist ähnlich dem des globalen Makros, allerdings muss hier zuerst zu dem Port gewechselt werden:
Für eine Port Gruppe sieht das dann so aus :
interface range FastEthernet0/1 - 10
marcro apply default
macro apply ACCESS $vlan 10 $descr AccessPort

Schon sind die Ports 1 – 10 fertig und identisch konfiguriert.

Hinweis: Makros können für alle möglichen Konfigurationen verwendet werden. Dies gilt nicht nur für Switche. Router der 800er Serie beherrschen Makro Befehle ebenso und können damit konfiguriert werden – zum Beispiel das ändern der WAN IP inklusive Default Route (dazu später mehr)

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , , | Hinterlasse einen Kommentar

Cisco Interaktiver Karriere Pfad

Publiziert am 16. Mai 2012 von mkruseonline

Heute mal nur ein Kurzeintrag.

Ich habe beim Surfen einen interessanten Link gefunden, wo man einen guten Überblick über den Cisco Karriere Pfad hat:

Interaktiver Karriere Pfad

Veröffentlicht unter Allgemein | Verschlagwortet mit , | Hinterlasse einen Kommentar

Verlegen der 24 Stunden Zwangstrennung auf einen gewünschten Zeitpunkt

Publiziert am 10. Mai 2012 von mkruseonline

Wen stört es nicht: Eben noch den Download einer großen Datei gestartet und mittendrin (oder kurz vor dem Ende) kommt die 24 Stunden Zwangstrennung des Providers. Ebenso beliebt ist die Trennung, wenn man zum Beispiel eine Onlinesitzung hat (Skype, Voip, VPN, …)

Um dieses zu verhindern, kann auf dem Cisco Router mit kron eine zeitgesteuerte Aktion durchgeführt werden.

Zuerst die policy-list, mit der die auszuführende Aktion festgelegt wird (in diesem Beispiel der Neustart der DSL Verbindung):
kron policy-list Di0_restart
cli clear interface Dialer 0

Dann noch einen Zeitpunkt und die Policy festlegen (hier täglich um 3:00 Uhr nachts):
kron occurrence DailyReload at 3:00 recurring
policy-list Di0_restart

Mit show log kann man dann prüfen, ob es funktioniert:

  • 030714: May 10 03:00:00.580 CET: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di0
  • 030715: May 10 03:00:00.588 CET: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down
  • 030716: May 10 03:00:00.592 CET: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to down
  • 030717: May 10 03:00:22.979 CET: %DIALER-6-BIND: Interface Vi1 bound to profile Di0
  • 030718: May 10 03:00:22.983 CET: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up
  • 030719: May 10 03:00:23.483 CET: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to up

Damit ist dann tagsüber Ruhe mit der 24 Stunden Zwangstrennung.

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , | Hinterlasse einen Kommentar

Management IP / VLAN per Makro ändern

Publiziert am 25. April 2012 von mkruseonline

Manch einer kennt die Situation: Das Netzwerk wird geändert und die Management IP des Gerätes muss geändert werden.
Leider ist dieser Switch nur via Netzwerk zu erreichen.
Bleibt die Management IP im selben Bereich ist alles in Ordnung. Ändert sich aber das Management VLAN und/oder der IP Bereich inklusive Gateway wird es schon schwieriger.
Ändert man die IP ist der Switch nicht mehr erreichbar, ändert man das Default-Gateway ebenso. Bleibt die IP erhalten, aber das VLAN ändert sich ist es ebenso: Bevor die IP umzieht, muss das alte VLAN Interface heruntergefahren werden…

Eine einfache, unkomplizierte Methode um dieses Problem zu lösen sind die sogenannten Makros. Hier werden Befehlsfolgen eingegeben, die bei Makroausführung der Reihe nach abgearbeitet werden – Auch wenn die Verbindung nach der IP Änderung erst mal abbricht.

Als erstes zur Sicherheit ein Reload:
reload in 10 Neustart nach 10 Minuten (wenn man mehr Zeit braucht, muss die Zahl erhöht werden)
In den Konfigurationsmodus wechseln:
config t
Dann das MaKro eingeben:
macro name Vlan_change (es kommt der Hinweis, das zum beenden des Makromodus ein @ Zeichen einzugeben ist)
Nun die einzelnen Makro Befehle (jede Zeile mit ENTER abschließen)
interface Vlan1
no ip address
shutdown
interface vlan90
description MGMT_VLAN
ip address [NEUE IP ADRESSE] [NEUE NETZWERKMASKE]
no shutdown
ip default-gateway [NEUES DEFAULT-GATEWAY]
@

Um das Makro zu anzuwenden (immer noch im Konfigurationsmodus)

macro global apply Vlan_change

Die Verbindung wird dann abbrechen. Der Switch ist dann mit der neuen IP zu erreichen.
Nach erfolgreichem Login:
reload cancel (sonst ist die Konfiguration weg)
wr

Fertig. Sollte doch etwas nicht funktioniert haben, startet der Switch nach 15 Minuten mit der alten Konfiguration neu.

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , , | 1 Kommentar

Zeit basierende Access Control List ( ACL )

Publiziert am 23. April 2012 von mkruseonline

Eine Access Control List ( ACL ), auf Deutsch Zugangskontrolliste, steuert den Zugriff auf das Netzwerk. Eine ACL besteht au seiner Liste von ‘permit’ (erlaubt) und ‘deny’ (verboten Statements, die der Reihe nach abgearbeitet werden.
Time-based ACL ist ein Cisco Feature, welches mit der Software Release 12.0.1.T eingeführt wurde, um den Zugriff auf das Netzwerk zeitgesteuert zu kontrollieren. Das Zeitfenster, Kann ‘absolut‘ oder ‘periodisch‘ sein.
Die Verwendung von zeitbasierenden Access Control Lists kann hilfreich sein und sehr einfach. Um diese zu verwenden, sind folgende Schritte nötig:

1. Zeitfenster definieren
2. ACL definieren, in welcher das Zeitfenster definiert wird
3. ACL zuweisen; z.B. zu einem Interface, einem virtuellen Interface, …

Beispiel 1: Zeitperiode
SSH nur in der Woche von 18:00 Uhr bis 06:00 Uhr erlauben (Fernwartung oder ähnliches).
1. Zeitfenster definieren
Router(config)#time-range zeit_ssh
Router(config-time-range)#periodic weekday 18:00 to 06:00
2. ACL definieren
Router(config)#ip access-list extended ssh_permit
Router(config-ext-nacl)#permit tcp any any eq 22 time-range zeit_ssh
3. ACL anwenden
Router(config)#line vty 0 4
Router(config-line)#access-class ssh_permit in

Beispiel 2: Absolute Zeit
SNMP Protokoll vom 1. März 2012 bis zum 31. März blockieren:
1. Zeitfenster definieren
Router(config)#time-range zeit_snmp
Router(config-time-range)#absolute start 05:00 1 Mar 2012 end 22:00 31 March 2012
2. ACL definieren
Router(config)#ip access-list extended snmp_block
Router(config-ext-nacl)#deny udp an an eq snmp time-range zeit_snmp
Router(config-ext-nacl)#permit ip any any
3. ACL anwenden
Router(config)#interface fastEthernet 0/1
Router(config-if)#ip access-group snmp_block in

Hinweis: Um zu prüfen, ob eine Zeitbasierende ACL aktiv ist, kann der Befehl ‘show ip access-list’ oder der Befehl ‘show time-range’ verwendet werden.

Referenz: Cisco Tech Notes

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , , | Hinterlasse einen Kommentar

Cisco IOS Tastaturkürzel

Publiziert am 18. April 2012 von mkruseonline

Es existieren eine Reihe von Tastaturkürzeln im Cisco IOS. Diese erleichtern den Alltag im Umgang mit dem Command Line Interface (CLI) ungemein.
Am bekanntesten ist wohl die „TAB“ Taste. Diese vervollständigt die angefangenen Befehle. Tippt man zum Beispiel „show ru“ und drückt dann die „TAB“ Taste, wird daraus „show running-config“.

Im Folgenden habe ich hier eine Liste der Tastaturkürzel (wobei diese nicht vollständig sein muß):

Ctrl+T: tauscht den Wert an der aktuellen Cursor Position mit dem Wert davor
Ctrl+K: Alle Zeichen hinter dem Cursor löschen
Ctrl+X: Alle Zeichen vor dem Cursor löschen
Ctrl+L: aktuelle Zeile erneut anzeigen
Ctrl+C: Konfigurationsmodus verlassen
Ctrl+A: Cursor an den Anfang der aktuellen Zeile bewegen
Ctrl+E: Cursor an das Ende der aktuellen Zeile bewegen
Ctrl+F: Ein Zeichen vorwärts bewegen
Ctrl+B: Ein Zeichen Rückwärts bewegen
Ctrl+R: aktuelle Zeile erneut anzeigen (neue Zeile mit dem letzten Kommando)
Ctrl+U: Zeile löschen
Ctrl+W: Wort löschen
Ctrl+Z: Konfigurationsmodus verlassen, zurück zum privileged EXEC mode
Ctrl+P (oder Pfeil hoch): Zeigt die letzte eingegebene Zeile an
Ctrl+N (oder Pfeil runter): Zeigt die vorherige eingegebene Zeile an
Tab: Angefangenen Befehl vervollständigen
Esc, F: Cursor ein Wort vorwärts bewegen
Esc, B: Cursor ein Wort rückwärts bewegen

Veröffentlicht unter Allgemein | Verschlagwortet mit , , | Hinterlasse einen Kommentar

Update der Asymmetric Digital Subscriber Line (ADSL) Firmware für Cisco 886 Integrated Services Router

Publiziert am 12. April 2012 von mkruseonline


Um die ADSL Firmware bei einem Cisco 886er Router auf einen aktuellen Stand zu bringen, wird die Datei “adsl_alc_20190_5.0.005.bin” von Cisco benötigt.

Nach dem download wird die Datei umbenannt in “adsl_alc_20190.bin”.

Diese Datei wird dann per TFTP auf den Router kopiert (ich nutze dazu 3com ftp/tftp Server)
copy tftp://x.x.x.x/adsl_alc_20190.bin flash -> x.x.x.x ist die IP wo der TFTP Server läuft
Den Router neu starten
reload
Nach dem Neustart ist dann die neue Firmware verfügbar und in Verwendung. Falls es Probleme geben sollte, kann die Datei gelöscht werden und nach einem Neustart ist die im IOS eingebettete Version wieder aktiv.

Weitere Hinweise gibt es auch hier : Cisco Support

Prüfen kann man die Firmware Version mit Befehl

show dsl interface ATM 0

Init FW: init_.bin
Operation FW: .bin
FW Source:
FW Version: x.x.x

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , | Hinterlasse einen Kommentar

VPN Tunnel mit dynamischer IP auf beiden Seiten

Publiziert am 10. April 2012 von wp_admin

Wenn man keine statischen IP Adressen zur Verfügung hat, gestaltet es sich etwas schwieriger eine gesicherte VPN Verbindung aufzubauen. Vor allem wenn eine Seite ein UMTS Router mit nicht öffentlicher IP Adresse ist.

Zum Aufbau :
Router 1 : Cisco 886 ADSL Router mit öffentlicher, dynamischer IP
Router 2 : Cisco 881 UMTS Router mit privater, dynamischer IP

In diesem Fall kann nur der 881er Router die VPN Verbindung initieren.
Die folgenden Einstellungen sind auf beiden Routern ähnlich, man muß nur darauf achten, das jeweils die Gegenstelle einträgt.

Beide Router bekommen einen dynamischen DNS Eintrag (in meinem Fall von no-ip.com) :
ip ddns update method ddnsupdate
HTTP
add http://[E-MAIL:PASSWORT]@dynupdate.no-ip.com/nic/update?hostname=[HOSTNAME].no-ip.org
interval maximum 1 0 0 0

Hinweis : Beim kopieren der Befehle geht das “?” verloren. Die entsprechende Zeile sollte von Hand eingeben werden. Vor dem Fragezeichen einmal “STRG + v” drücken.

Weiterlesen

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , , , | Hinterlasse einen Kommentar

Mein IT / Netzwerkblog

Publiziert am 17. Februar 2012 von wp_admin

Moin, moin.

In diesem Blog werde ich rund um die IT und Netzwerke schreiben.

Gruß
Michael

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , , , | Hinterlasse einen Kommentar