Zeit basierende Access Control List ( ACL )

Eine Access Control List ( ACL ), auf Deutsch Zugangskontrolliste, steuert den Zugriff auf das Netzwerk. Eine ACL besteht aus seiner Liste von ‘permit’ (erlaubt) und ‘deny’ (verboten Statements, die der Reihe nach abgearbeitet werden.
Time-based ACL ist ein Cisco Feature, welches mit der Software Release 12.0.1.T eingeführt wurde, um den Zugriff auf das Netzwerk zeitgesteuert zu kontrollieren. Das Zeitfenster, Kann ‘absolut‘ oder ‘periodisch‘ sein.
Die Verwendung von zeitbasierenden Access Control Lists kann hilfreich sein und sehr einfach. Um diese zu verwenden, sind folgende Schritte nötig:

1. Zeitfenster definieren
2. ACL definieren, in welcher das Zeitfenster definiert wird
3. ACL zuweisen; z.B. zu einem Interface, einem virtuellen Interface, …

Beispiel 1: Zeitperiode
SSH nur in der Woche von 18:00 Uhr bis 06:00 Uhr erlauben (Fernwartung oder ähnliches).
1. Zeitfenster definieren
Router(config)#time-range zeit_ssh
Router(config-time-range)#periodic weekday 18:00 to 06:00

2. ACL definieren
Router(config)#ip access-list extended ssh_permit
Router(config-ext-nacl)#permit tcp any any eq 22 time-range zeit_ssh

3. ACL anwenden
Router(config)#line vty 0 4
Router(config-line)#access-class ssh_permit in

Beispiel 2: Absolute Zeit
SNMP Protokoll vom 1. März 2012 bis zum 31. März blockieren:
1. Zeitfenster definieren
Router(config)#time-range zeit_snmp
Router(config-time-range)#absolute start 05:00 1 Mar 2012 end 22:00 31 March 2012

2. ACL definieren
Router(config)#ip access-list extended snmp_block
Router(config-ext-nacl)#deny udp an an eq snmp time-range zeit_snmp
Router(config-ext-nacl)#permit ip any any

3. ACL anwenden
Router(config)#interface fastEthernet 0/1
Router(config-if)#ip access-group snmp_block in

Hinweis: Um zu prüfen, ob eine Zeitbasierende ACL aktiv ist, kann der Befehl ‘show ip access-list’ oder der Befehl ‘show time-range’ verwendet werden.

Referenz: Cisco Tech Notes

Cisco IOS Tastaturkürzel

Es existieren eine Reihe von Tastaturkürzeln im Cisco IOS. Diese erleichtern den Alltag im Umgang mit dem Command Line Interface (CLI) ungemein.
Am bekanntesten ist wohl die „TAB“ Taste. Diese vervollständigt die angefangenen Befehle. Tippt man zum Beispiel „show ru“ und drückt dann die „TAB“ Taste, wird daraus „show running-config“.

Im Folgenden habe ich hier eine Liste der Tastaturkürzel (wobei diese nicht vollständig sein muß):

Ctrl+T: tauscht den Wert an der aktuellen Cursor Position mit dem Wert davor
Ctrl+K: Alle Zeichen hinter dem Cursor löschen
Ctrl+X: Alle Zeichen vor dem Cursor löschen
Ctrl+L: aktuelle Zeile erneut anzeigen
Ctrl+C: Konfigurationsmodus verlassen
Ctrl+A: Cursor an den Anfang der aktuellen Zeile bewegen
Ctrl+E: Cursor an das Ende der aktuellen Zeile bewegen
Ctrl+F: Ein Zeichen vorwärts bewegen
Ctrl+B: Ein Zeichen Rückwärts bewegen
Ctrl+R: aktuelle Zeile erneut anzeigen (neue Zeile mit dem letzten Kommando)
Ctrl+U: Zeile löschen
Ctrl+W: Wort löschen
Ctrl+Z: Konfigurationsmodus verlassen, zurück zum privileged EXEC mode
Ctrl+P (oder Pfeil hoch): Zeigt die letzte eingegebene Zeile an
Ctrl+N (oder Pfeil runter): Zeigt die vorherige eingegebene Zeile an
Tab: Angefangenen Befehl vervollständigen
Esc, F: Cursor ein Wort vorwärts bewegen
Esc, B: Cursor ein Wort rückwärts bewegen

Update der Asymmetric Digital Subscriber Line (ADSL) Firmware für Cisco 886 Router


Um die ADSL Firmware bei einem Cisco 886er Router auf einen aktuellen Stand zu bringen, wird die Datei “adsl_alc_20190_5.0.005.bin” von Cisco benötigt.

Nach dem download wird die Datei umbenannt in “adsl_alc_20190.bin”.

Diese Datei wird dann per TFTP auf den Router kopiert (ich nutze dazu 3com ftp/tftp Server)
copy tftp://x.x.x.x/adsl_alc_20190.bin flash -> x.x.x.x ist die IP wo der TFTP Server läuft
Den Router neu starten
reload
Nach dem Neustart ist dann die neue Firmware verfügbar und in Verwendung. Falls es Probleme geben sollte, kann die Datei gelöscht werden und nach einem Neustart ist die im IOS eingebettete Version wieder aktiv.

Weitere Hinweise gibt es auch hier : Cisco Support

Prüfen kann man die Firmware Version mit Befehl

show dsl interface ATM 0

Init FW: init_.bin
Operation FW: .bin
FW Source:
FW Version: x.x.x

VPN Tunnel mit dynamischer IP auf beiden Seiten

Wenn man keine statischen IP Adressen zur Verfügung hat, gestaltet es sich etwas schwieriger eine gesicherte VPN Verbindung aufzubauen. Vor allem wenn eine Seite ein UMTS Router mit nicht öffentlicher IP Adresse ist.

Zum Aufbau :
Router 1 : Cisco 886 ADSL Router mit öffentlicher, dynamischer IP
Router 2 : Cisco 881 UMTS Router mit privater, dynamischer IP

In diesem Fall kann nur der 881er Router die VPN Verbindung initieren.
Die folgenden Einstellungen sind auf beiden Routern ähnlich, man muß nur darauf achten, das jeweils die Gegenstelle einträgt.

Beide Router bekommen einen dynamischen DNS Eintrag (in meinem Fall von no-ip.com) :
ip ddns update method ddnsupdate
HTTP
add http://[E-MAIL:PASSWORT]@dynupdate.no-ip.com/nic/update?hostname=[HOSTNAME].no-ip.org
interval maximum 1 0 0 0

Hinweis : Beim kopieren der Befehle geht das “?” verloren. Die entsprechende Zeile sollte von Hand eingeben werden. Vor dem Fragezeichen einmal “STRG + v” drücken.

Weiterlesen

1 3 4 5