• Cisco-Escape: CTRL + ^ dann x

• login → wenn man keine Raute im Prompt hat, muss man den Befehl ena eingeben (und meistens noch ein Passwort eingeben)
• sh int status
  lang: show interfaces status
  → Überblick über den Status aller Netzwerk-Interfaces inklusive VLAN

switch1#sh int status
 
Port      Name             Status       Vlan       Duplex  Speed Type
Gi0/1     vlan120 client   connected    120        a-full a-1000 10/100/1000BaseTX
Gi0/2     vlan120 client   connected    120        a-full  a-100 10/100/1000BaseTX
Gi0/3     vlan120 client   notconnect   120          auto   auto 10/100/1000BaseTX
Gi0/4     vlan120 client   connected    120        a-full a-1000 10/100/1000BaseTX
Gi0/5     vlan140 server   connected    140        a-full a-1000 10/100/1000BaseTX
Gi0/6     vlan140 server   connected    140        a-full a-1000 10/100/1000BaseTX
Gi0/7     vlan140 server   connected    140        a-half   a-10 10/100/1000BaseTX
Gi0/8     vlan160 gast     notconnect   160          auto   auto 10/100/1000BaseTX
Gi0/9     vlan160 gast     notconnect   160          auto   auto 10/100/1000BaseTX
Gi0/10    vlan160 gast     connected    160        a-full a-1000 10/100/1000BaseTX
[...]
Gi0/45    trunk switch2    connected    trunk      a-full a-1000 10/100/1000BaseTX
Gi0/46    trunk            notconnect   1            auto   auto Not Present
Gi0/47    trunk switch3    connected    trunk      a-full a-1000 1000BaseSX SFP
Gi0/48    trunk switch4    connected    trunk      a-full a-1000 1000BaseSX SFP

• sh int status | include Gi0/48
  → zeigt den Status vom GigabitEthernet Port 0/48 an
• sh run
  lang: show run
  → zeigt die laufende Konfiguration
• sh start
  lang: show startup-config
  → zeigt die gespeicherte Konfiguration (mit der der Switch gestartet wird)
• sh run gi0/48
  → zeigt die laufende Konfiguration von interface GigabitEthernet0/48
• conf t
  lang: configure terminal
  →starte Konfigurationsmodus (ab hier sollte man wissen was man tut! Die show-Befehle gehen hier nicht)
• exit
  →verlasse den Konfigurationsmodus
• wr mem
  lang: write memory oder copy running-config startup-config
  → sichere die laufende Konfiguration als Startup-Konfig

mehr Befehle überall im Internet, z.B. dort:

• https://www.r33net.de/cisco-switch-konfiguration-befehlecommands/
• https://www.cisco.com/c/en/us/td/docs/routers/access/800/826/software/configuration/guide/german/ge_swg/gbaskill.html

Wenn man bei sh run nicht ständig —more— bestätigen will:

switch# term len 0

sh vlan

sh int trunk

sh int status

Beantwortet die Frage: "An welchem Switch und an welchem Port hängt der Computer?" ohne Zugriff auf den Switch.

Cisco-Geräte sind nicht schweigsam … um das Cisco Discovery Protocol (CDP) auf z.B. einem Linux-Computer abzuhören, kann man das Tool cdpr verwenden:

$ sudo cdpr -d eth0
Using Device: eth0
Waiting for CDP advertisement:
(default config is to transmit CDP packets every 60 seconds)
Device ID
  value:  core42.rz7.unixwitch.de
Addresses
  value:  10.55.7.42
Port ID
  value:  GigabitEthernet0/23

cdpr gibt es für Linux¹⁾, div. Unixe und andere Betriebsysteme, es ist einfach zu bauen. Quellcode dort: http://sourceforge.net/projects/cdpr. .

das Cisco Discovery Protocoll kann man natürlich auch auf Switchen selber nutzen:

switch1#sh cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone

Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
switch2          Fas 0/12          160           S I      WS-C2960- Fas 0/2
switch3          Gig 0/1           162           S I      WS-C2960- Gig 0/1

Beantwortet die Frage: "An welchem Port hängt der Computer?" ohne Zugriff auf den angeschlossenen Rechner (und ohne die Kabel nachzuverfolgen).

ping: Zuerst Adresse anpingen, damit die IP-Adresse auch im Arp-Cache landet:

switch#ping 192.168.1.54

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.54, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

show arp: Dann im Arp-Cache (IP-zu-ARP-Tabelle) suchen (man kann auch einfach mit show arp die ganze ARP-Tabelle anzeigen)

switch#show arp | include 192.168.1.54
Internet  192.168.1.54          87   0012.4fbf.1f56  ARPA   Vlan66

show mac-address-table: Mit der gefundenen MAC-Adresse kann man dann seine MAC-zu-Port-Tabelle durchsuchen:

switch#show mac-address-table address 0012.4fbf.1f56
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
  66    0012.4fbf.1f56    DYNAMIC     Fa0/2
Total Mac Addresses for this criterion: 1

(getestet auf einem WS-C2960-24TC-L mit der Software-Version 12.2(35)SE5)

switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
switch(config)#snmp-server contact contact@example.com
switch(config)#snmp-server community public RO

testen mit snmp-walk:

snmpwalk -v 1 -c public switch .1

SNMP v1 sollte man nur dann einschalten, wenn da eine Firewall davorsteht … altes Protokoll mit historisch vielen Sicherheitslücken und Klartext-Passwort-Übertragung.

Man kann auch einschränken, von wo aus SNMP abgefragt werden darf

access-list 8 permit 88.198.194.42
snmp-server community public RO 8

$ snmpget -v1 -m ALL -c public switchname 1.3.6.1.4.1.9.2.1.56.0  1.3.6.1.4.1.9.2.1.57.0 1.3.6.1.4.1.9.2.1.58.0 1.3.6.1.4.1.9.5.1.1.8.0
SNMPv2-SMI::enterprises.9.2.1.56.0 = INTEGER: 4
SNMPv2-SMI::enterprises.9.2.1.57.0 = INTEGER: 5
SNMPv2-SMI::enterprises.9.2.1.58.0 = INTEGER: 5
SNMPv2-SMI::enterprises.9.5.1.1.8.0 = INTEGER: 0

• Zeile 1: "CPU busy percentage" der letzten 5 Sekunden (laut Scheduler)
• Zeile 2: CPU - Durchschnitt über 1 Minute
• Zeile 2: CPU - Durchschnitt über 5 Minuten
• Traffic in %

Siehe:

• http://christian.weblog.heimdaheim.de/2009/02/13/nagios-integrating-cisco-switches/
• die folgenden zwei Tools gibt es nicht mehr, leider habe ich noch keinen Ersatz gefunden:
  • http://tools.cisco.com/Support/SNMP/do/BrowseOID.do?local=en&translate=Translate&objectInput=1.3.6.1.4.1.9.2.1.56
  • http://tools.cisco.com/Support/SNMP/do/BrowseOID.do?objectInput=1.3.6.1.4.1.9.5.1.1.8&translate=Translate

Bei "gefährlichen" Operationen auf schlecht erreichbaren Routern: Wenn man sich ausgesperrt hat, wird die Konfiguration automatisch zurückgeladen (ohne den freundlichen Kollegen in der Filiale bemühen zu müssen.)

• reload einstellen

router# reload in 10
Reload scheduled in 10 minutes
Proceed with reload? [confirm]
router#

• gefährliches zeuch tun - ich habe nur 10 Minuten …

• alles gut gegangen, reload entschärfen:

router# reload cancel
router#

***
*** --- SHUTDOWN ABORTED ---
***

router# 

(alt, evtl. nicht mehr aktuell … ausserdem, wer verwendet noch ISDN auf dem Router?)

Router:

• show isdn active
• show isdn status

• term mon
• debug dialer
• deb isdn q931
• deb isdn q921

• debug ppp negotiation

siehe auch:

• CISCO + Pexpect (Python3)
• Cisco ASA Mini-Spickzettel (≤ 2014)
• Cisco-CSS SNMP: oid2string + string2oid (Python Script), Cicso-CSS Stand ≤ 2010

Zu allen Cisco-Geräten gibt es sehr umfassende Dokumentation im Internet. Ein sehr großer Teil der Befehle ist in fast allen Versionen auf fast allen Geräten gleich (sh run²⁾, copy run tftp ³⁾ …) - sobald es sich um etwas um speziellere Dinge handelt, wird dann Version von IOS und Typ von Router oder Switch sehr wichtig ⁴⁾ - schon ob es sich bei dem dunkelgrünem Gerät um Router oder Switch handelt, ist sonst manchmal nur an Details zu merken, z.B. ob er nun auch NAT kann oder nicht ⁵⁾. Bewaffnet mit IOS-Version und Geräte-Typ können dann diese Webseiten hilfreich sein:

• Cisco Switches
• Cisco Routers

• Cisco Password Recovery Link kaputt, noch keinen Ersatz gefunden
• CDPR - Ein Tool, um das Cisco Disovery Protocol zu belauschen