cisco netflow

Иногда хочется посмотреть подробности о трафике на интерфейсе циски, которая не подключена к системе мониторинга. Кто грузит интерфейс, что качается? Для этого на физическом интерфейсе можно включить netflow.

int fastEthernet 0/0
ip flow ingress
ip flow egress

теперь доступна команда

c2811-VSHT#sh ip cache flow 
IP packet size distribution (261141 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.000 .329 .059 .012 .010 .009 .127 .003 .004 .005 .005 .002 .002 .001 .002
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.001 .001 .004 .013 .404 .000 .000 .000 .000 .000 .000
IP Flow Switching Cache, 278544 bytes
306 active, 3790 inactive, 9098 added
138815 ager polls, 0 flow alloc failures
Active flows timeout in 30 minutes
Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 34056 bytes
0 active, 1024 inactive, 0 added, 0 added to flow
0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-Telnet 3 0.0 1 40 0.0 0.0 15.4
TCP-FTP 1 0.0 1 40 0.0 0.0 15.4
TCP-WWW 1110 0.0 6 568 0.0 0.4 3.6
TCP-other 6212 0.0 29 832 0.0 3.1 9.4
UDP-NTP 16 0.0 1 76 0.0 0.0 15.3
UDP-other 1414 0.0 23 202 0.0 2.4 15.4
ICMP 22 0.0 1 136 0.0 0.3 15.5
IP-other 14 0.0 122 257 0.0 38.0 15.6
Total: 8792 0.0 25 726 0.0 2.7 9.7
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Vl110 109.236.109.184 Fa0/0* 34.243.180.165 06 9740 01BB 10
Fa0/0 213.180.204.179 Vl121 109.236.109.184 06 01BB C0F4 1
Fa0/0 91.213.144.122 Vl110 109.236.109.184 06 01BB 0616 20
Fa0/0 79.134.192.226 Local 109.236.109.184 11 D69A 0B0F 5333
Fa0/0 88.221.73.2 Vl110 109.236.109.184 06 01BB 0418 1
Fa0/0 64.233.164.188 Vl121 109.236.109.184 06 146C C2CA 1
Fa0/0 172.217.22.174 Vl121 109.236.109.184 06 01BB 9A5E 1
Vl110 109.236.109.184 Fa0/0* 216.58.211.140 11 E9D8 01BB 5

можно делать выборки sh ip cache flow | i Vl110

Если нужно посмотреть кто создает максимальный трафик нужно

ip flow-top-talkers
top 10
sort-by bytes
cache-timeout 100

Теперь работает команда sh ip flow top-talkers

c2811-VSHT#sh ip flow top-talkers 
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Bytes
Vl110 109.236.109.184 Fa0/0* 79.134.192.226 11 0B0F D69A 3451K
Vl110 109.236.109.184 Fa0/0* 134.119.220.101 06 C005 01BB 2444K
Fa0/0 79.134.192.226 Local 109.236.109.184 11 D69A 0B0F 804K
Vl110 109.236.109.184 Fa0/0* 37.252.255.202 06 E35B 1732 345K
Fa0/0 134.119.220.101 Vl110 109.236.109.184 06 01BB C005 214K
Fa0/0 37.252.255.202 Vl110 109.236.109.184 06 1732 E35B 123K
Fa0/0 178.170.229.129 Local 109.236.109.184 11 7C2B 1194 60K
Vl121 109.236.109.184 Fa0/0* 81.88.86.38 11 A17D EA60 38K
Vl121 109.236.109.184 Fa0/0* 81.88.86.38 11 54A5 EA60 34K
Vl121 109.236.109.184 Fa0/0* 81.88.86.38 11 2AF9 EA60 31K
10 of 10 top talkers shown. 167 flows processed.

cisco ssh

как включить доступ на Cisco через SSH

1. задать имя хоста и домена

hostname имя_хоста 
ip domain-name доменное_им

2. сгенерировать ключ

crypto key generate rsa 
How many bits in the modulus [512]: 1024

3. настроить параметы ssh:

ip ssh version 2 
ip ssh authentication-retries 3
ip ssh time-out 30

4. настроить виртуальные терминалы на работу с ssh

line vty 0 4  
transport input ssh
privilege level 15
login local
line vty 5 15
transport input ssh

cisco catalist password reset

Процедура сброса пароля на маршрутизаторах и коммутаторах cisco отличается. Как обычно — необходим физический доступ к оборудованию и подключение к консоли.

Чтобы начать восстановление нужно выключить коммутатор, затем включить его с зажатой кнопкой mode. Так мы прерываем штатную загрузку.

Loading "flash:/c2960-lanbase-mz.122-25.FX.bin"…
#
Boot process terminated.
switch

Теперь вводим команды flash_init и load_helper. После из успешного выполнения становится доступным содержимое нашей flash памяти. Посмотреть его можно командой — dir flash: (двоеточие в конце команды)

switch: flash_init
Initializing Flash…
flashfs[0]: 3 files, 0 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 64016384
flashfs[0]: Bytes used: 3059643
flashfs[0]: Bytes available: 60956741
flashfs[0]: flashfs fsck took 1 seconds.
…done Initializing Flash.
switch: load_helper
switch: dir flash:
Directory of flash:/
1 -rw- 3058048 c2950-i6q4l2-mz.121-22.EA4.bin
3 -rw- 979 config.text
2 -rw- 616 vlan.dat
60956741 bytes available (3059643 bytes used)

Интересует файл config.text — это и есть стартап-конфиг коммутатора. Чтобы коммутатор загрузился без него — его нужно переименовать, например так — rename flash:config.old flash:config.text.
Теперь коммутатор нужно перезагрузить в нормальном режиме — он загрузится без конфигурации. Если не стоит задача — сохранить старый конфиг — то на этом все.

Если старый конфиг сохранить нужно, то содержимое переименованного файла конфига нужно загрузить в running-config, добавить пользователя и сохранить конфигурацию.

Switch>en
Switch#rename flash:config.old flash:config.text
Switch#copy flash:config.text system:running-config

Теперь после того как конфиг загружен мы можем задать новый пароль

Switch1#conf t
Switch1(config)#enable secret NewPassword
Switch1(config)#enable password NewPassword
Switch1 (config)#line vty 0 4
Switch1 (config-line)#password NewPassword
Switch1 (config-line)#login
Switch1 (config-line)#exit
Switch1 (config)#line console 0
Switch1 (config-line)#password NewPassword
Switch1 (config-line)#login

И сохраняем новую конфигурацию.

Switch1#copy running-config startup-config

Теперь после перезагрузки коммутатор будет загружать файл с измененным паролем.

cisco isr password reset

Чтобы сбросить пароль на маршрутизаторах ISR cisco необходимо подключение консольным кабелем. Далее reload (или физически передернуть кабель питаний) — при загрузке [Ctrl]+[Break] — так, чтобы появилось приглашение rommon> (режим ROM monitor).

Если терминал не позволяет передать [Ctrl]+[Break] можно просто вытащить из роутера флеш-карту и загрузить без нее.

Из режима rommon> нужно изменить конфигурацию реестра командой confreg 0x2142. После чего сделать reset

Теперь маршрутизатор загрузится без конфига. Можно настраивать новый конфиг — если план был такой. Если-же нужен старый конфиг — то необходимо из привилегированного режима сделать copy startup-config running-config.
После этой команды применится старый конфиг, но привилегированный режим позволит создать в нем новую учетную запись и/или изменить любые другие настройки.

Когда все пароли изменены/восстановлены — необходимо перевести конфигурационный регистр в нормальное состояние. config-register 0x2102

cisco vlans

VLAN расшифровывается как Virtual Local Area Network. На одном коммутаторе возможно настроить несколько различных VLAN’ов для разных сетей.

У каждого VLAN’а есть номер. Существуют два типа VLAN:

  1. Стандартный диапазон VLAN — от 1 до 1000
  2. Расширенный диапазон VLAN — от 1025 до 4096

На каждом коммутаторе существует VLAN 1, все интерфейсы по умолчанию относятся к нему. Процесс настройки практически идентичен для всех коммутаторов Catalyst.

Конфигурация VLAN в режиме Config-vlan,  процесс конфигурации:

conf t
vlan <number>
int gi 0
sw mode access
sw acc vl <number>
end

Команду vlan <number> можно пропустить. Тогда циска сообщит о том что влана нет, но он был создан.

ciscocom

 

cisco TDR

Обнаружил у коммутаторов cisco замечательную функциональность.

TDR — Time Domain Reflectometry позволяет диагностировать медный кабель, подключенный к порту (в данном случая витая пара UTP). С помощью данного теста можно определить приблизительную длину кабеля, обрыв кабеля, неправильную распиновку кабеля, короткое замыкание в кабеле и прочее.

Для проведения данного теста нужно в привилегированном режиме выполнить команду (в примере указан интерфейс Gi 1/0/2)

c2960s2#test cable-diagnostics tdr interface Gi1/0/2 
TDR test started on interface Gi1/0/2
A TDR test can take a few seconds to run on an interface
Use 'show cable-diagnostics tdr' to read the TDR results.

Для просмотра результата

c2960s2#show cable-diagnostics tdr interface gi 1/0/2
TDR test last run on: October 19 06:19:09

Interface Speed Local pair Pair length Remote pair Pair status
--------- ----- ---------- ------------------ ----------- --------------------
Gi1/0/2 100M Pair A 38 +/- 0 meters N/A Normal 
             Pair B 42 +/- 0 meters N/A Normal 
             Pair C 38 +/- 1 meters N/A Short/Crosstalk 
             Pair D 38 +/- 1 meters N/A Short/Crosstalk

На значения длин вполне можно опираться при создании коммутационного журнала, как я и поступил.

 

cisco bandwidth shaping

Способ ограничить трафик на интерфейсе.

Надо создать policy-map. в ней указать целевой трафик, который в данном случае будет весь трафик и политику, что с ним делать — в данном случае задать порог и не пропускать пакеты, если превышает порог.

Потом привязать эту политику к интерфейсу в нужном направлении можно в обоих направлениях.

policy-map PMAP-VLAN22_INBOUND
class class-default
police 5000000 conform-action transmit exceed-action drop

policy-map PMAP-VLAN22_OUTBOUND
class class-default
shape average 50000000  (50 мегабит в сек) 

/* no shape average 5000000 (5 мегабит в сек) */

interface ge0/0
service out PMAP-VLAN22_OUTBOUND
service in PMAP-VLAN22_INBOUND


no service-policy input PMAP-VLAN22_INBOUND
no service-policy output PMAP-VLAN22_OUTBOUND

скорость в бит в секунду.

для этого интерфейса входящий трафик — это то что приходит от компутеров в этом влане, т.е. то, что пойдет в интернет а исходящий трафик — это то, что будет приходить из инета вернее, только лимитер будет работать на ИСходящий трафик

===

Как зарезать скорость на влане.

Создается access-list:

 access-list 120 permit ip 192.168.100.0 0.0.0.255 any
 access-list 120 permit ip any 192.168.100.0 0.0.0.255

Далее заходим на нужный влановский интерфейс добавляем две строчки:

rate-limit input access-group 120 512000 128000 256000 conform-action transmit exceed-action drop
 rate-limit output access-group 120 512000 128000 256000 conform-action transmit exceed-action drop

как считать https://m.habrahabr.ru/post/172789/

zabbix snmp cisco device

Замониторить с помощью заббикса cisco switch или router — очень хорошая идея. Повозившись с шаблонами из cisco устройств удается вытащить очень много полезной информации. Чтобы кошка начала отвечать на snmp запросы необходимо добавить в ее конфигурацию следующие строки (приведены в качестве примера)

snmp-server community ITOcenter RO
snmp-server location SDN
snmp-server contact c891-pf

Далее нужно добавить в zabbix соответствующий хост, причепить к нему шаблон/шаблоны и наслаждаться результатом.