Benutzer-Werkzeuge

Webseiten-Werkzeuge


de:sysadmin:tools:cisco

Cisco Spickzettel

  • Cisco-Escape: CTRL + ^ dann x

Cisco Switch: Paging ausschalten, alles auf einer Seite

Wenn man bei sh run nicht ständig —more— bestätigen will:

switch# term len 0

VLAN, Trunking Info

sh vlan

sh int trunk

sh int status

An welchem Switch hängt die Ethernet-Schnittstelle des Computers? Frag das Cisco Disovery Protocol

Beantwortet die Frage: "An welchem Switch und an welchem Port hängt der Computer?" ohne Zugriff auf den Switch.

Cisco-Geräte sind nicht schweigsam … um das Cisco Discovery Protocol (CDP) auf z.B. einem Linux-Computer abzuhören, kann man das Tool cdpr verwenden:

$ sudo cdpr -d eth0
Using Device: eth0
Waiting for CDP advertisement:
(default config is to transmit CDP packets every 60 seconds)
Device ID
  value:  core42.rz7.unixwitch.de
Addresses
  value:  10.55.7.42
Port ID
  value:  GigabitEthernet0/23

cdpr gibt es für Linux1), div. Unixe und andere Betriebsysteme, es ist einfach zu bauen. Quellcode dort: http://sourceforge.net/projects/cdpr. .

Cisco Switch: welche anderen Switche habe ich als Nachbar?

das Cisco Discovery Protocoll kann man natürlich auch auf Switchen selber nutzen:

switch1#sh cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone

Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
switch2          Fas 0/12          160           S I      WS-C2960- Fas 0/2
switch3          Gig 0/1           162           S I      WS-C2960- Gig 0/1

Cisco Switch: An welchem Port hängt die gesuchte IP-Adresse?

Beantwortet die Frage: "An welchem Port hängt der Computer?" ohne Zugriff auf den angeschlossenen Rechner (und ohne die Kabel nachzuverfolgen).

ping: Zuerst Adresse anpingen, damit die IP-Adresse auch im Arp-Cache landet:

switch#ping 192.168.1.54

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.54, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

show arp: Dann im Arp-Cache (IP-zu-ARP-Tabelle) suchen (man kann auch einfach mit show arp die ganze ARP-Tabelle anzeigen)

switch#show arp | include 192.168.1.54
Internet  192.168.1.54          87   0012.4fbf.1f56  ARPA   Vlan66

show mac-address-table: Mit der gefundenen MAC-Adresse kann man dann seine MAC-zu-Port-Tabelle durchsuchen:

switch#show mac-address-table address 0012.4fbf.1f56
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
  66    0012.4fbf.1f56    DYNAMIC     Fa0/2
Total Mac Addresses for this criterion: 1

(getestet auf einem WS-C2960-24TC-L mit der Software-Version 12.2(35)SE5)

Cisco Switch: SNMP v1 anschalten

switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
switch(config)#snmp-server contact contact@example.com
switch(config)#snmp-server community public RO

testen mit snmp-walk:

snmpwalk -v 1 -c public switch .1

:!: SNMP v1 sollte man nur dann einschalten, wenn da eine Firewall davorsteht … altes Protokoll mit historisch vielen Sicherheitslücken und Klartext-Passwort-Übertragung.

SNMP mit ACCESS-LIST

Man kann auch einschränken, von wo aus SNMP abgefragt werden darf

access-list 8 permit 88.198.194.42
snmp-server community public RO 8

SNMP: Wie beschäftigt ist die Switch-CPU? Wieviel Traffic fliesst über die Backplane?

$ snmpget -v1 -m ALL -c public switchname 1.3.6.1.4.1.9.2.1.56.0  1.3.6.1.4.1.9.2.1.57.0 1.3.6.1.4.1.9.2.1.58.0 1.3.6.1.4.1.9.5.1.1.8.0
SNMPv2-SMI::enterprises.9.2.1.56.0 = INTEGER: 4
SNMPv2-SMI::enterprises.9.2.1.57.0 = INTEGER: 5
SNMPv2-SMI::enterprises.9.2.1.58.0 = INTEGER: 5
SNMPv2-SMI::enterprises.9.5.1.1.8.0 = INTEGER: 0
  • Zeile 1: "CPU busy percentage" der letzten 5 Sekunden (laut Scheduler)
  • Zeile 2: CPU - Durchschnitt über 1 Minute
  • Zeile 2: CPU - Durchschnitt über 5 Minuten
  • Traffic in %

Siehe:

Arbeiten, ohne sich auszusperren

Bei "gefährlichen" Operationen auf schlecht erreichbaren Routern: Wenn man sich ausgesperrt hat, wird die Konfiguration automatisch zurückgeladen (ohne den freundlichen Kollegen in der Filiale bemühen zu müssen.)

  • reload einstellen
router# reload in 10
Reload scheduled in 10 minutes
Proceed with reload? [confirm]
router#
  • gefährliches zeuch tun - ich habe nur 10 Minuten …
  • alles gut gegangen, reload entschärfen:
router# reload cancel
router#

***
*** --- SHUTDOWN ABORTED ---
***

router# 

ISDN debugging

(alt, evtl. nicht mehr aktuell … ausserdem, wer verwendet noch ISDN auf dem Router?)

Router:

  • show isdn active
  • show isdn status
  • term mon
  • debug dialer
  • deb isdn q931
  • deb isdn q921
  • debug ppp negotiation

siehe auch: Cisco ASA Mini-Spickzettel, Cisco ASA mit pexpect automatisieren, Cisco CSS: SNMP OIDs für Contend-Rules & Co

Zu allen Cisco-Geräten gibt es sehr umfassende Dokumentation im Internet. Ein sehr großer Teil der Befehle ist in fast allen Versionen auf fast allen Geräten gleich (sh run2), copy run tftp 3) …) - sobald es sich um etwas um speziellere Dinge handelt, wird dann Version von IOS und Typ von Router oder Switch sehr wichtig 4) - schon ob es sich bei dem dunkelgrünem Gerät um Router oder Switch handelt, ist sonst manchmal nur an Details zu merken, z.B. ob er nun auch NAT kann oder nicht 5). Bewaffnet mit IOS-Version und Geräte-Typ können dann diese Webseiten hilfreich sein:

  • CDPR - Ein Tool, um das Cisco Disovery Protocol zu belauschen

1) Die meisten Linux-Distributionen bringen kein cdpr-Paket mit
2) lang: show run - zeige die gerade laufende Konfiguration
3) copy run tftp: kopiere die gerade laufende Konfiguration auf einen TFTP-Server
4) sh ver - Zeige Version von Soft- und Hardware
5) mancher Switch läßt sich in vielen Aspekten auch als Router missbrauchen, kann dann aber z.B. doch keine IP-Adressen per NAT verbiegen …
de/sysadmin/tools/cisco.txt · Zuletzt geändert: 2016-02-09 20:23 von hella

Seiten-Werkzeuge