Benutzer-Werkzeuge

Webseiten-Werkzeuge


de:sysadmin:tools:cisco

Cisco Spickzettel

  • Cisco-Escape: CTRL + ^ dann x

Cisco Switch 101

  • login → wenn man keine Raute im Prompt hat, muss man den Befehl ena eingeben (und meistens noch ein Passwort eingeben)
  • sh int status
    lang: show interfaces status
    → Überblick über den Status aller Netzwerk-Interfaces inklusive VLAN
switch1#sh int status
 
Port      Name             Status       Vlan       Duplex  Speed Type
Gi0/1     vlan120 client   connected    120        a-full a-1000 10/100/1000BaseTX
Gi0/2     vlan120 client   connected    120        a-full  a-100 10/100/1000BaseTX
Gi0/3     vlan120 client   notconnect   120          auto   auto 10/100/1000BaseTX
Gi0/4     vlan120 client   connected    120        a-full a-1000 10/100/1000BaseTX
Gi0/5     vlan140 server   connected    140        a-full a-1000 10/100/1000BaseTX
Gi0/6     vlan140 server   connected    140        a-full a-1000 10/100/1000BaseTX
Gi0/7     vlan140 server   connected    140        a-half   a-10 10/100/1000BaseTX
Gi0/8     vlan160 gast     notconnect   160          auto   auto 10/100/1000BaseTX
Gi0/9     vlan160 gast     notconnect   160          auto   auto 10/100/1000BaseTX
Gi0/10    vlan160 gast     connected    160        a-full a-1000 10/100/1000BaseTX
[...]
Gi0/45    trunk switch2    connected    trunk      a-full a-1000 10/100/1000BaseTX
Gi0/46    trunk            notconnect   1            auto   auto Not Present
Gi0/47    trunk switch3    connected    trunk      a-full a-1000 1000BaseSX SFP
Gi0/48    trunk switch4    connected    trunk      a-full a-1000 1000BaseSX SFP
  • sh int status | include Gi0/48
    → zeigt den Status vom GigabitEthernet Port 0/48 an
  • sh run
    lang: show run
    → zeigt die laufende Konfiguration
  • sh start
    lang: show startup-config
    → zeigt die gespeicherte Konfiguration (mit der der Switch gestartet wird)
  • sh run gi0/48
    → zeigt die laufende Konfiguration von interface GigabitEthernet0/48
  • conf t
    lang: configure terminal
    →starte Konfigurationsmodus (ab hier sollte man wissen was man tut! Die show-Befehle gehen hier nicht)
  • exit
    →verlasse den Konfigurationsmodus
  • wr mem
    lang: write memory oder copy running-config startup-config
    → sichere die laufende Konfiguration als Startup-Konfig

mehr Befehle überall im Internet, z.B. dort:

Cisco Switch: Paging ausschalten, alles auf einer Seite

Wenn man bei sh run nicht ständig —more— bestätigen will:

switch# term len 0

VLAN, Trunking Info

sh vlan

sh int trunk

sh int status

An welchem Switch hängt die Ethernet-Schnittstelle des Computers? Frag das Cisco Disovery Protocol

Beantwortet die Frage: "An welchem Switch und an welchem Port hängt der Computer?" ohne Zugriff auf den Switch.

Cisco-Geräte sind nicht schweigsam … um das Cisco Discovery Protocol (CDP) auf z.B. einem Linux-Computer abzuhören, kann man das Tool cdpr verwenden:

$ sudo cdpr -d eth0
Using Device: eth0
Waiting for CDP advertisement:
(default config is to transmit CDP packets every 60 seconds)
Device ID
  value:  core42.rz7.unixwitch.de
Addresses
  value:  10.55.7.42
Port ID
  value:  GigabitEthernet0/23

cdpr gibt es für Linux1), div. Unixe und andere Betriebsysteme, es ist einfach zu bauen. Quellcode dort: http://sourceforge.net/projects/cdpr. .

Cisco Switch: welche anderen Switche habe ich als Nachbar?

das Cisco Discovery Protocoll kann man natürlich auch auf Switchen selber nutzen:

switch1#sh cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone

Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
switch2          Fas 0/12          160           S I      WS-C2960- Fas 0/2
switch3          Gig 0/1           162           S I      WS-C2960- Gig 0/1

Cisco Switch: An welchem Port hängt die gesuchte IP-Adresse?

Beantwortet die Frage: "An welchem Port hängt der Computer?" ohne Zugriff auf den angeschlossenen Rechner (und ohne die Kabel nachzuverfolgen).

ping: Zuerst Adresse anpingen, damit die IP-Adresse auch im Arp-Cache landet:

switch#ping 192.168.1.54

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.54, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

show arp: Dann im Arp-Cache (IP-zu-ARP-Tabelle) suchen (man kann auch einfach mit show arp die ganze ARP-Tabelle anzeigen)

switch#show arp | include 192.168.1.54
Internet  192.168.1.54          87   0012.4fbf.1f56  ARPA   Vlan66

show mac-address-table: Mit der gefundenen MAC-Adresse kann man dann seine MAC-zu-Port-Tabelle durchsuchen:

switch#show mac-address-table address 0012.4fbf.1f56
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
  66    0012.4fbf.1f56    DYNAMIC     Fa0/2
Total Mac Addresses for this criterion: 1

(getestet auf einem WS-C2960-24TC-L mit der Software-Version 12.2(35)SE5)

Cisco Switch: SNMP v1 anschalten

switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
switch(config)#snmp-server contact contact@example.com
switch(config)#snmp-server community public RO

testen mit snmp-walk:

snmpwalk -v 1 -c public switch .1

:!: SNMP v1 sollte man nur dann einschalten, wenn da eine Firewall davorsteht … altes Protokoll mit historisch vielen Sicherheitslücken und Klartext-Passwort-Übertragung.

SNMP mit ACCESS-LIST

Man kann auch einschränken, von wo aus SNMP abgefragt werden darf

access-list 8 permit 88.198.194.42
snmp-server community public RO 8

SNMP: Wie beschäftigt ist die Switch-CPU? Wieviel Traffic fliesst über die Backplane?

$ snmpget -v1 -m ALL -c public switchname 1.3.6.1.4.1.9.2.1.56.0  1.3.6.1.4.1.9.2.1.57.0 1.3.6.1.4.1.9.2.1.58.0 1.3.6.1.4.1.9.5.1.1.8.0
SNMPv2-SMI::enterprises.9.2.1.56.0 = INTEGER: 4
SNMPv2-SMI::enterprises.9.2.1.57.0 = INTEGER: 5
SNMPv2-SMI::enterprises.9.2.1.58.0 = INTEGER: 5
SNMPv2-SMI::enterprises.9.5.1.1.8.0 = INTEGER: 0
  • Zeile 1: "CPU busy percentage" der letzten 5 Sekunden (laut Scheduler)
  • Zeile 2: CPU - Durchschnitt über 1 Minute
  • Zeile 2: CPU - Durchschnitt über 5 Minuten
  • Traffic in %

Siehe:

Arbeiten, ohne sich auszusperren

Bei "gefährlichen" Operationen auf schlecht erreichbaren Routern: Wenn man sich ausgesperrt hat, wird die Konfiguration automatisch zurückgeladen (ohne den freundlichen Kollegen in der Filiale bemühen zu müssen.)

  • reload einstellen
router# reload in 10
Reload scheduled in 10 minutes
Proceed with reload? [confirm]
router#
  • gefährliches zeuch tun - ich habe nur 10 Minuten …
  • alles gut gegangen, reload entschärfen:
router# reload cancel
router#

***
*** --- SHUTDOWN ABORTED ---
***

router# 

ISDN debugging

(alt, evtl. nicht mehr aktuell … ausserdem, wer verwendet noch ISDN auf dem Router?)

Router:

  • show isdn active
  • show isdn status
  • term mon
  • debug dialer
  • deb isdn q931
  • deb isdn q921
  • debug ppp negotiation

siehe auch:

Zu allen Cisco-Geräten gibt es sehr umfassende Dokumentation im Internet. Ein sehr großer Teil der Befehle ist in fast allen Versionen auf fast allen Geräten gleich (sh run2), copy run tftp 3) …) - sobald es sich um etwas um speziellere Dinge handelt, wird dann Version von IOS und Typ von Router oder Switch sehr wichtig 4) - schon ob es sich bei dem dunkelgrünem Gerät um Router oder Switch handelt, ist sonst manchmal nur an Details zu merken, z.B. ob er nun auch NAT kann oder nicht 5). Bewaffnet mit IOS-Version und Geräte-Typ können dann diese Webseiten hilfreich sein:


1)
Die meisten Linux-Distributionen bringen kein cdpr-Paket mit
2)
lang: show run - zeige die gerade laufende Konfiguration
3)
copy run tftp: kopiere die gerade laufende Konfiguration auf einen TFTP-Server
4)
sh ver - Zeige Version von Soft- und Hardware
5)
mancher Switch läßt sich in vielen Aspekten auch als Router missbrauchen, kann dann aber z.B. doch keine IP-Adressen per NAT verbiegen …
de/sysadmin/tools/cisco.txt · Zuletzt geändert: 2020-01-13 18:38 von hella

Seiten-Werkzeuge