Cisco Spickzettel

• Cisco-Escape: CTRL + ^ dann x

Beantwortet die Frage: “An welchem Switch und an welchem Port hängt der Computer?” ohne Zugriff auf den Switch.

Cisco-Geräte sind nicht schweigsam ... um das Cisco Discovery Protocol (CDP) auf z.B. einem Linux-Computer abzuhören, kann man das Tool cdpr verwenden:

$ sudo cdpr -d eth0
Using Device: eth0
Waiting for CDP advertisement:
(default config is to transmit CDP packets every 60 seconds)
Device ID
  value:  core42.rz7.unixwitch.de
Addresses
  value:  10.55.7.42
Port ID
  value:  GigabitEthernet0/23

cdpr gibt es für Linux1), div. Unixe und andere Betriebsysteme, es ist einfach zu bauen. Quellcode dort: http://sourceforge.net/projects/cdpr. .

das Cisco Discovery Protocoll kann man natürlich auch auf Switchen selber nutzen:

switch1#sh cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone

Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
switch2          Fas 0/12          160           S I      WS-C2960- Fas 0/2
switch3          Gig 0/1           162           S I      WS-C2960- Gig 0/1

Beantwortet die Frage: “An welchem Port hängt der Computer?” ohne Zugriff auf den angeschlossenen Rechner (und ohne die Kabel nachzuverfolgen).

ping: Zuerst Adresse anpingen, damit die IP-Adresse auch im Arp-Cache landet:

switch#ping 192.168.1.54

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.54, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

show arp: Dann im Arp-Cache (IP-zu-ARP-Tabelle) suchen (man kann auch einfach mit show arp die ganze ARP-Tabelle anzeigen)

switch#show arp | include 192.168.1.54
Internet  192.168.1.54          87   0012.4fbf.1f56  ARPA   Vlan66

show mac-address-table: Mit der gefundenen MAC-Adresse kann man dann seine MAC-zu-Port-Tabelle durchsuchen:

switch#show mac-address-table address 0012.4fbf.1f56
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
  66    0012.4fbf.1f56    DYNAMIC     Fa0/2
Total Mac Addresses for this criterion: 1

(getestet auf einem WS-C2960-24TC-L mit der Software-Version 12.2(35)SE5)

switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
switch(config)#snmp-server contact contact@example.com
switch(config)#snmp-server community public RO

testen mit snmp-walk:

snmpwalk -v 1 -c public switch .1

SNMP v1 sollte man nur dann einschalten, wenn da eine Firewall davorsteht ... altes Protokoll mit historisch vielen Sicherheitslücken und Klartext-Passwort-Übertragung.

Man kann auch einschränken, von wo aus SNMP abgefragt werden darf

access-list 8 permit 88.198.194.42
snmp-server community public RO 8

$ snmpget -v1 -m ALL -c public switchname 1.3.6.1.4.1.9.2.1.56.0  1.3.6.1.4.1.9.2.1.57.0 1.3.6.1.4.1.9.2.1.58.0 1.3.6.1.4.1.9.5.1.1.8.0
SNMPv2-SMI::enterprises.9.2.1.56.0 = INTEGER: 4
SNMPv2-SMI::enterprises.9.2.1.57.0 = INTEGER: 5
SNMPv2-SMI::enterprises.9.2.1.58.0 = INTEGER: 5
SNMPv2-SMI::enterprises.9.5.1.1.8.0 = INTEGER: 0

• Zeile 1: “CPU busy percentage” der letzten 5 Sekunden (laut Scheduler)
• Zeile 2: CPU - Durchschnitt über 1 Minute
• Zeile 2: CPU - Durchschnitt über 5 Minuten
• Traffic in %

Siehe:

• http://blog.barfoo.org/2009/02/13/nagios-integrating-cisco-switches/
• http://tools.cisco.com/Support/SNMP/do/BrowseOID.do?local=en&translate=Translate&objectInput=1.3.6.1.4.1.9.2.1.56
• http://tools.cisco.com/Support/SNMP/do/BrowseOID.do?objectInput=1.3.6.1.4.1.9.5.1.1.8&translate=Translate

Bei “gefährlichen” Operationen auf schlecht erreichbaren Routern: Wenn man sich ausgesperrt hat, wird die Konfiguration automatisch zurückgeladen (ohne den freundlichen Kollegen in der Filiale bemühen zu müssen.)

• reload einstellen

router# reload in 10
Reload scheduled in 10 minutes
Proceed with reload? [confirm]
router#

• gefährliches zeuch tun - ich habe nur 10 Minuten ...

• alles gut gegangen, reload entschärfen:

router# reload cancel
router#

***
*** --- SHUTDOWN ABORTED ---
***

router# 

Router:

• show isdn active
• show isdn status

• term mon
• debug dialer
• deb isdn q931
• deb isdn q921

• debug ppp negotiation

siehe auch: Cisco ASA Mini-Spickzettel, Cisco ASA mit pexpect automatisieren, Cisco CSS: SNMP OIDs für Contend-Rules & Co

Zu allen Cisco-Geräten gibt es sehr umfassende Dokumentation im Internet. Ein sehr großer Teil der Befehle ist in fast allen Versionen auf fast allen Geräten gleich (sh run2), copy run tftp 3) ...) - sobald es sich um etwas um speziellere Dinge handelt, wird dann Version von IOS und Typ von Router oder Switch sehr wichtig 4) - schon ob es sich bei dem dunkelgrünem Gerät um Router oder Switch handelt, ist sonst manchmal nur an Details zu merken, z.B. ob er nun auch NAT kann oder nicht 5). Bewaffnet mit IOS-Version und Geräte-Typ können dann diese Webseiten hilfreich sein:

• Cisco IOS Software Configuration
• Cisco CSS 11500 Series Config Guides

• Cisco Password Recovery

• CDPR - Ein Tool, um das Cisco Disovery Protocol zu belauschen