Skip to content

regisu blog

Blog z notatkami …

Archive

Tag: sieci

configure syslog add X.X.X.X vr „VR-Mgmt” local7

conf log target syslog X.X.X.X local7 severity notice

enable syslog

enable cli-config-logging

Floating static route polega na tym, że konfigurujemy trasę statyczną z większym AD<Administrative Distance> niż to jakie ma dynamiczny protokół routingu od którego również tą trasę otrzymujemy. Dzięki temu, gdy wyleci nam trasa dynamiczna to do tablicy routingu wrzucona zostaje trasa statyczna, która normalnie jest ignorowana ze względu na wysoki AD.

QinQ na Dellach powerconnect 6200

Topologia

KOMP<-Fa0/3-> 3500<-Fa0/1|Fa0/1-> 3550<-Fa0/48|1/g24->6224<-1/g21|Fa0/1-> 2950<-Fa0/23->ROUTER

Konfiguracja

Konfiguracja 3500:

interface FastEthernet0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,3,5,1002-1005
switchport mode trunk
interface FastEthernet0/3
switchport access vlan 5

Konfiguracja 3550:

system mtu 1546
interface FastEthernet0/1
switchport access vlan 10
switchport mode dot1q-tunnel
no cdp enable
spanning-tree bpdufilter enable
interface FastEthernet0/48
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10
switchport mode trunk

Konfiguracja 6224:

Port qinq:

interface ethernet 1/g21
switchport access vlan 10
mtu 1546

Port trunkowy do drugiego switcha:

interface ethernet 1/g24
switchport mode trunk
switchport forbidden vlan add 1
switchport trunk allowed vlan add 10
mode dvlan-tunnel
mtu 1546

Konfiguracja 2950:

interface FastEthernet0/23
switchport access vlan 5

Żeby zresetować hasło w switchu Extreme 48si trzeba:

  • Podłączyć się kablem konsolowym do switcha (standard 9600 8n1)
  • Odpalić konsolę w minicomie albo innym ulubiony emulatorze terminala.
  • Trzymając spację podłączyć switcha do prądu
  • Powinno pokazać się się BootMenu. Jeśli wciśniemy h to pokażą się dostępne komendy:
    • 1: Select primary code image
    • 2: Select secondary code image
    • 3: Select primary configuration
    • 4: Select secondary configuration
    • b: Change baud rate
    • d: Force default configuration
    • f: Boot on board flash
    • h: Help
    • k: Erase selected configuration
    • p: Boot PCMCIA card
    • s: Load code image from serial port using XMODEM
  • Wpisujemy 1 ( wybiera pierwszy obraz z systemem)
  • Wpisujemy k – czyści konfig danego obrazu
  • Wpisujemy d – wymusza domyślną konfigurację
  • Wpisujemy f – ładuje system
  • I to już koniec. Teraz można się zalogować z defaultowym loginem: admin i brakiem hasła

Kiedyś dość mocno zastanawiałem się o co chodzi w tych magicznych terminach i czym się one od siebie różnią.

Otóż PA czyli Provider Aggregatable to adresy wydzielone z puli, którą posiada nasz ISP. Nie należą niestety do nas i z chwilą kiedy rezygnujemy z usług tego operatora to musimy się z nimi pożegnać. Są plusy i minusy tego rozwiązania:

+ nie musimy kupować routera do BGP, zarządzać nim i w ogóle babrać się w routing’u jako takim.

+ nie martwimy się o aktualizację wpisów w RIPE i takich tam dziwacznych rzeczy, które na początku mogą się wydawać straszne.

+ nie musimy płacić naszemu LIR’owi kasy. Tzw. sponsoring LIR.

gdy chcemy zmienić operatora to niestety musimy też zmienić adresy, gdyż należą one do ISP, a nie do nas.

raczej wyklucza to jakiś rozsądny multihoming, gdyż nawet mając kilku operatorów i adresy od nich – każdy i tak będzie rozgłaszał swoją klasę adresową. Czyli gdy pada nam jeden ISP to adresy, które od niego dostaliśmy stają się chwilowo bezużyteczne. Można niby kombinować, ale jest z tym sporo zachodu.

Drugą opcją są adresy PI czyli Provider Independent. Jest to pula, którą dostajemy od RIPE i nie zależy ona od żadnego operatora. Dodatkowo potrzebujemy jeszcze numer ASN, który także przydziela RIPE. Ten typ adresacji posiada również swoje plusy i minusy:

+ multihoming.

+ daje większe możliwości w sterowaniu ruchem idącym do/ z sieci internet.

+ stajemy się niezależni – rezygnując z usług danego operatora zachowujemy swoje adresy.

trzeba płacić LIR’owi kasę za tzw. sponsoring LIR.

trzeba posiadać router BGP i admina, który potrafi tym sensownie zarządzać.

O przydział klasy adresowej czy też numeru ASN nie występujemy bezpośrednio do RIPE tylko do LIR’a, którym może być np. nasz ISP (ale nie musi). Spis Polskich LIR’ów można znaleźć -> tutaj. Dopiero on występuje z przygotowanym przez nas wnioskiem do RIPE. Podpisujemy z nim wcześniej umowę na tzw. „sponsoring LIR” i płacimy mu za to, że pomaga nam procedować wnioski w RIPE, a on z kolei płaci RIPE’owi za to, że jest LIR’em więc kółko się zamyka.

No tak dzisiaj musiałem zrobić małe sniffowanie ruchu na porcie do klienta, bo nie wiadomo skąd leci do niego 400Mbit którego nie powinno tam być.

No i natknąłem się na problemik jak zrobić port mirror na switch’u Dell’a. Na szczęście okazało się to banalne. Trzeba to zrobić tak:

  • Wchodzimy w tryb configure
  • Teraz trzeba podać port źródłowy, który chcemy mirror’ować oraz kierunek interesującego nas ruchu monitor session 1 source interface 1/g1 [tx, rx, both]
  • W razie potrzeby można dodać jeszcze kilka portów źródłowych
  • Następnie trzeba podać port docelowy, na który ten ruch ma być kopiowany monitor session 1 destination interface 1/g2
  • I na koniec trzeba daną sesję włączyć monitor session 1 mode

I to w zasadzie tyle.

Właśnie się dowiedziałem o istnieniu ciekawego makra:

switchport host

Jak go użyć i co powoduje?

Otóż wystarczy powyższą komendę wydać w trybie konfiguracji interfejsu fizycznego. Spowoduje ona:

  • Ustawienie portu na access
  • Włączenie spanning-tree portfast
  • Wyłączenie portchannel’a

Oczywiście makro przydaje się tylko wtedy, gdy zakładamy, że do tego portu będzie podłączony PC’et albo inne urządzenie końcowe. Podpięcie switcha może spowodować powstanie pętli, gdyż portfast od razu ustawi port w stan forwarding pomijając przy tym pozostałe dwa stany (listening i learning), przez co przełącznik nie ma szans wykryć pętli.

W niektórych sieciach portsecurity może być bardzo przydatną funkcją. Polega ona na kontroli dostępu do portów na podstawie MAC adresów. Aby włączyć porstecurity na porcie trzeba w konfiguracji portu wpisać:

switchport port-security

A następnie określić adresy MAC, których użycie na tym porcie ma być dozwolone. Można to zrobić na dwa sposoby:

  • poprzez ręczne ustawienie MAC’ów
  • naukę MAC’ów na podstawie ruchu na porcie (domyślnie)

kontynuuj czytanie …

Przydatna rzecz. Żeby działał ip helper address <adres ip serwera dhcp>, musi być włączona usługa service dhcp na cisco.

Routing można w debianie włączyć na kilka sposobów. Jednym z nich jest napisanie skryptu, który przy starcie wykonać linijkę:

echo "1" > /proc/sys/net/ipv4/ip_forward

Ale można też skorzystać z dedykowanego rozwiązania jakim jest sysctl. To interfejs który pozwala w dość elegancki sposób zmieniać dynamicznie parametry pracy jądra. Aby przekazywanie pakietów włączało się przy starcie wystarczy w pliku /etc/sysctl.conf dopisać lub odkomentować linijkę:

net.ipv4.ip_forward=1

Dzięki temu po restarcie systemu routing będzie działał.

Można oczywiście obejść się bez restartu, wystarczy przeładować ustawienia sysctl przy pomocy polecenia:

sysctl -p /etc/sysctl.conf