DHCP Server auf Cisco Router mit IOS

In kleineren Netzwerken ist es meistens nicht nötig einen DHCP Server mit zusätzlicher Hardware aufzubauen. Das spart Kosten und erleichter die Arbeit, da keine (oder nur wenige) Netzwerk Geräte von Hand mit statische IP konfiguriert werden müssen. Ebenso hat man einen zentralen Überblick am Router, welches Gerät im Netzwerk aktiv ist.

Als Erstes wird der IP Bereich konfiguriert:

ip dhcp pool [POOL NAME]
 import all
 network [IP ADRESSE DES NETZES][SUBNETZMASKE]
 default-router [IP DES DEFAULT-GATEWAYS]
 dns-server [DNS SERVER1] [DNS SERVER2]
 domain-name [DOMAIN]
 lease [TAGE] [STUNDEN] [MINUTEN]

Dann werden die Adressen konfiguriert, die von der IP-Adressen Vergabe ausgenommen werden sollen:

ip dhcp excluded-address [IP ADRESSE]

Falls es Netzwerkgeräte gibt, die per DHCP immer eine bestimmte IP Adresse beziehen sollen, kann das mit einem statischen Pool erledigt werden:

ip dhcp pool [POOL NAME]
 host [IP ADRESSE] [SUBNETZMASKE]
 client-identifier [MAC ADRESSE]

Hinweis: Beim client-identifier wird eine “01” der MAC Adresse vorangestellt.

Hier noch einmal eine komplette Beispielkonfiguration:

ip dhcp excluded-address 172.16.1.1 172.16.1.64
!
ip dhcp pool STATISCH
 host 172.16.1.3 255.255.255.0
 client-identifier 0100.0f3e.5393.38
!
ip dhcp pool IP-Bereich-Name
 import all
 network 172.16.1.0 255.255.255.0
 default-router 172.16.1.1
 dns-server 85.214.20.141 85.214.73.63
 domain-name home.net
 lease 3

Desweiteren sind auch die verschiedenen Optionen möglich, zum Beispiel:

option 150 [IP ADRESSE DES DHCP SERVERS]

Um Fehlern auf die Spur zu kommen, helfen folgende Befehle:

show ip dhcp binding
debug ip dhcp server events
debug ip dhcp server packets

Zentrale Anmeldung mit TACACS+ (AAA) / TACACS PLUS

TACACS+ (TACACS PLUS) ist eine Erweiterung des TACACS Protokolls. TACACS+ ist ein AAA (Authentisierung, Autorisierung und Accounting) Kommunikationsprotokoll. Bei der Anmeldung an einem Netzwerkgerät werden der Nutzername und das Passwort an einen zentralen Server geleitet. Dieser verfügt über eine lokale Benutzer Datenbank, oder bekommt diese Informationen zum Beispiel via LDAP vom Windows Active Directory (oder was es da sonst noch so gibt). Der Server gibt die verifizierten Daten an das Netzwerkgerät zurück und der Benutzer ist autorisiert, sich an diesem Gerät anzumelden (oder eben nicht). Zentrale Logfiles erleichtern die Überprüfung der Anmeldeversuche.
Die Einstellungen im TACACS Server steuern auch, welche Berechtigungen ein Nutzer auf den Netzwerkgeräten hat.

Der TACACS Server Cisco Secure ACS von Cisco ist einer der meistgenutzten kommerziellen Server.
Als Freeware gibt es diverse Portierungen in den meisten Linux Distribution.
Für Windows gibt es bei tacacs.net eine Freewareversion
Wer gerne selber bastelt, kann sich den Source Code von Shrubbery Networks, Inc. herunterladen.

Für die unterschiedlichen Switche habe ich hier ein paar Konfigurationsbeispiele:

Cisco Switche:

aaa new-model
aaa authentication login default group tacacs+ local enable
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa session-id common
tacacs-server host [IP DES TACACS SERVERS] key [TACACS+Schlüssel]
tacacs-server directed-request 

Foundry / Brocade Switche:

aaa authentication web-server default tacacs+ local none
aaa authentication enable default tacacs+ local none
aaa authentication enable implicit-user
aaa authentication login default tacacs+ local none
aaa authentication login privilege-mode
aaa authorization exec default tacacs+ none
aaa accounting exec default start-stop tacacs+ none
tacacs-server host [IP DES TACACS SERVERS]
tacacs-server key 1 [TACACS+Schlüssel] 

Dell Switche:

aaa authentication login default tacacs local
tacacs-server host [IP DES TACACS SERVERS] key [TACACS+Schlüssel]
tacacs-server timeout 30 

HP Procurve:

aaa authentication console login tacacs local
aaa authentication console enable tacacs local
aaa authentication Telnet login tacacs local
aaa authentication telnet enable tacacs local
aaa authentication num-attempts 3
tacacs-server host [IP DES TACACS SERVERS] key [TACACS+Schlüssel] 

Den Port für die Remote Desktop Verbindung ( RDP ) ändern

Manchmal ist es nötig den Port für die Remote Desktop Verbindung ( RDP ) zu ändern. Die Gründe dafür können sicherheitstechnische Aspekte sein (niemals den Standardport im Internet nutzen) oder Firewall Richtlinien sein.

Mit den folgenden Schritten kann man den Port für die Remote Desktop Verbindung einfach ändern:

  • Start / Ausführen
  • Regedit eingeben und OK klicken
  • Wenn der Registry Editor geöffnet ist zu folgendem Schlüssel navigieren: HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control >Terminal Server > WinStations > RDP-Tcp
  • Den Schlüssel mit dem Namen “PortNumber” öffnen
  • Die Port Nummer wird in hexadezimal angezeigt, Defaultwert ist D3D für 3389
  • Die neue Port Nummer in hexadezimal eingeben, OK klicken und den Registry Editor schließen
  • Den Rechner neu starten, damit die Änderungen wirksam werden.

Die Änderung wird auf den Server durchgeführt. Auf dem Client gibt man in der Remote Desktop Verbindung [ADRESSE]:[PORT] ein:
RDP_Beispiel

Hinweis :
1.) Es ist möglich, das die Firewall Einstellungen geändert werden müssen.
2.) Zum Umrechnen von hexadezimal in dezimal und umgekehrt, kann der Windows Taschenrechner (calc.exe) verwendet werden.

NoFollow free – Mein Blog folgt den Links – auch in Kommentaren

Dieses Thema hat zwar nur am Rande mit IT und Netzwerken zu tun, aber ich finde es ist wichtig genug darüber zu schreiben.
Soll Links in Kommentaren gefolgt werden, oder nicht?
Ich finde, wenn sich schon jemand die Mühe macht einen Kommentar zu schreiben, dann sollte einem eventuellen Link auch gefolgt werden. Es profitieren beide Seiten davon: der Kommentarschreiber durch einen Link auf seine Webseite und der Blogger durch einen eventuellen Backlink oder zu mindesten einen Link auf eine interessante Webseite.

Dafür habe ich jetzt in meinem Blog NoFollow Free von Michele Marcucci im Einsatz. Dieses Plugin entfernt das “nofollow” Attribut von Links in den Kommentaren und erlaubt Suchmaschinen damit, den Links zu folgen. Als Hinweis auf das Plugin kann man (wie man links oben sehen kann, ein Banner einblenden lassen). Das Plugin ist selbsterklärend und in vielen Sprachen verfügbar.
Da ich alle Kommentare persönlich überprüfe und auch deren eventuelle Links, habe ich kein wirkliches Problem mit Spam Kommentaren.

Also, Note 1 für das Plugin und für die Seitenbetreiber, die den Links auch in Kommentaren folgen.

Bestimmung der “perfekten” Routenzusammenfassung (Summary Route / Route Summarization)

Wenn ein Netzwerk wächst, ist es meistens an der Zeit Routen zusammen zu fassen. Das hält die Routingtabellen klein und übersichtlich.
Warum jetzt die „perfekte“ Zusammenfassung ?
Und nicht einfach “eine” Zusammenfassung ?
Es ist sehr einfach, viele kleine Subnetze zu einer großen Route zusammenzufassen, aber das ist nicht sehr erstrebenswert. Wenn zum Beispiel vier Klasse C (/24) Netze zu einem Klasse A (/8) oder Klasse B (/16) Netz und nicht zu einem „Zwischennetz“ (/21 oder /22) Netz zusammengefasst werden, kann es eventuell viele Pakete geben, die ohne Ziel im Netzwerk gesendet werden.
Mit der „perfekten“ Routenzusammenfassung hält man diesen Netzwerkverkehr gering und hat eine saubere Routingtabelle (auch für Netzwerk-Erweiterungen). Ebenso wird die Anzahl der Routingpakete zwischen den Routern minimiert.

Hier mal ein kleines Beispiel zur Veranschaulichung :
Diese vier Netze sollen zusammengefasst werden.
172.16.1.0/24
172.16.2.0/23
172.16.4.0/21
172.16.9.0/24

IP Adressen in das Binärsystem umwandeln :
Jedes Oktett der IP Adresse wird dazu in das Binärsystem umgewandelt.
10101100.0010000.00000001.00000000
10101100.0010000.00000010.00000000
10101100.0010000.00000100.00000000
10101100.0010000.00001001.00000000

Weiterlesen

1 2 3 4 5