cisco ssh

как включить доступ на Cisco через SSH

1. задать имя хоста и домена

hostname имя_хоста 
ip domain-name доменное_им

2. сгенерировать ключ

crypto key generate rsa 
How many bits in the modulus [512]: 1024

3. настроить параметы ssh:

ip ssh version 2 
ip ssh authentication-retries 3
ip ssh time-out 30

4. настроить виртуальные терминалы на работу с ssh

line vty 0 4  
transport input ssh
privilege level 15
login local
line vty 5 15
transport input ssh

cisco catalist password reset

Процедура сброса пароля на маршрутизаторах и коммутаторах cisco отличается. Как обычно — необходим физический доступ к оборудованию и подключение к консоли.

Чтобы начать восстановление нужно выключить коммутатор, затем включить его с зажатой кнопкой mode. Так мы прерываем штатную загрузку.

Loading "flash:/c2960-lanbase-mz.122-25.FX.bin"…
#
Boot process terminated.
switch

Теперь вводим команды flash_init и load_helper. После из успешного выполнения становится доступным содержимое нашей flash памяти. Посмотреть его можно командой — dir flash: (двоеточие в конце команды)

switch: flash_init
Initializing Flash…
flashfs[0]: 3 files, 0 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 64016384
flashfs[0]: Bytes used: 3059643
flashfs[0]: Bytes available: 60956741
flashfs[0]: flashfs fsck took 1 seconds.
…done Initializing Flash.
switch: load_helper
switch: dir flash:
Directory of flash:/
1 -rw- 3058048 c2950-i6q4l2-mz.121-22.EA4.bin
3 -rw- 979 config.text
2 -rw- 616 vlan.dat
60956741 bytes available (3059643 bytes used)

Интересует файл config.text — это и есть стартап-конфиг коммутатора. Чтобы коммутатор загрузился без него — его нужно переименовать, например так — rename flash:config.old flash:config.text.
Теперь коммутатор нужно перезагрузить в нормальном режиме — он загрузится без конфигурации. Если не стоит задача — сохранить старый конфиг — то на этом все.

Если старый конфиг сохранить нужно, то содержимое переименованного файла конфига нужно загрузить в running-config, добавить пользователя и сохранить конфигурацию.

Switch>en
Switch#rename flash:config.old flash:config.text
Switch#copy flash:config.text system:running-config

Теперь после того как конфиг загружен мы можем задать новый пароль

Switch1#conf t
Switch1(config)#enable secret NewPassword
Switch1(config)#enable password NewPassword
Switch1 (config)#line vty 0 4
Switch1 (config-line)#password NewPassword
Switch1 (config-line)#login
Switch1 (config-line)#exit
Switch1 (config)#line console 0
Switch1 (config-line)#password NewPassword
Switch1 (config-line)#login

И сохраняем новую конфигурацию.

Switch1#copy running-config startup-config

Теперь после перезагрузки коммутатор будет загружать файл с измененным паролем.

cisco isr password reset

Чтобы сбросить пароль на маршрутизаторах ISR cisco необходимо подключение консольным кабелем. Далее reload (или физически передернуть кабель питаний) — при загрузке [Ctrl]+[Break] — так, чтобы появилось приглашение rommon> (режим ROM monitor).

Если терминал не позволяет передать [Ctrl]+[Break] можно просто вытащить из роутера флеш-карту и загрузить без нее.

Из режима rommon> нужно изменить конфигурацию реестра командой confreg 0x2142. После чего сделать reset

Теперь маршрутизатор загрузится без конфига. Можно настраивать новый конфиг — если план был такой. Если-же нужен старый конфиг — то необходимо из привилегированного режима сделать copy startup-config running-config.
После этой команды применится старый конфиг, но привилегированный режим позволит создать в нем новую учетную запись и/или изменить любые другие настройки.

Когда все пароли изменены/восстановлены — необходимо перевести конфигурационный регистр в нормальное состояние. config-register 0x2102

cisco vlans

VLAN расшифровывается как Virtual Local Area Network. На одном коммутаторе возможно настроить несколько различных VLAN’ов для разных сетей.

У каждого VLAN’а есть номер. Существуют два типа VLAN:

  1. Стандартный диапазон VLAN — от 1 до 1000
  2. Расширенный диапазон VLAN — от 1025 до 4096

На каждом коммутаторе существует VLAN 1, все интерфейсы по умолчанию относятся к нему. Процесс настройки практически идентичен для всех коммутаторов Catalyst.

Конфигурация VLAN в режиме Config-vlan,  процесс конфигурации:

conf t
vlan <number>
int gi 0
sw mode access
sw acc vl <number>
end

Команду vlan <number> можно пропустить. Тогда циска сообщит о том что влана нет, но он был создан.

ciscocom

 

cisco TDR

Обнаружил у коммутаторов cisco замечательную функциональность.

TDR — Time Domain Reflectometry позволяет диагностировать медный кабель, подключенный к порту (в данном случая витая пара UTP). С помощью данного теста можно определить приблизительную длину кабеля, обрыв кабеля, неправильную распиновку кабеля, короткое замыкание в кабеле и прочее.

Для проведения данного теста нужно в привилегированном режиме выполнить команду (в примере указан интерфейс Gi 1/0/2)

c2960s2#test cable-diagnostics tdr interface Gi1/0/2 
TDR test started on interface Gi1/0/2
A TDR test can take a few seconds to run on an interface
Use 'show cable-diagnostics tdr' to read the TDR results.

Для просмотра результата

c2960s2#show cable-diagnostics tdr interface gi 1/0/2
TDR test last run on: October 19 06:19:09

Interface Speed Local pair Pair length Remote pair Pair status
--------- ----- ---------- ------------------ ----------- --------------------
Gi1/0/2 100M Pair A 38 +/- 0 meters N/A Normal 
             Pair B 42 +/- 0 meters N/A Normal 
             Pair C 38 +/- 1 meters N/A Short/Crosstalk 
             Pair D 38 +/- 1 meters N/A Short/Crosstalk

На значения длин вполне можно опираться при создании коммутационного журнала, как я и поступил.

 

cisco bandwidth shaping

Способ ограничить трафик на интерфейсе.

Надо создать policy-map. в ней указать целевой трафик, который в данном случае будет весь трафик и политику, что с ним делать — в данном случае задать порог и не пропускать пакеты, если превышает порог.

Потом привязать эту политику к интерфейсу в нужном направлении можно в обоих направлениях.

policy-map PMAP-VLAN22_INBOUND
class class-default
police 5000000 conform-action transmit exceed-action drop

policy-map PMAP-VLAN22_OUTBOUND
class class-default
shape average 50000000  (50 мегабит в сек) 

/* no shape average 5000000 (5 мегабит в сек) */

interface ge0/0
service out PMAP-VLAN22_OUTBOUND
service in PMAP-VLAN22_INBOUND


no service-policy input PMAP-VLAN22_INBOUND
no service-policy output PMAP-VLAN22_OUTBOUND

скорость в бит в секунду.

для этого интерфейса входящий трафик — это то что приходит от компутеров в этом влане, т.е. то, что пойдет в интернет а исходящий трафик — это то, что будет приходить из инета вернее, только лимитер будет работать на ИСходящий трафик

===

Как зарезать скорость на влане.

Создается access-list:

 access-list 120 permit ip 192.168.100.0 0.0.0.255 any
 access-list 120 permit ip any 192.168.100.0 0.0.0.255

Далее заходим на нужный влановский интерфейс добавляем две строчки:

rate-limit input access-group 120 512000 128000 256000 conform-action transmit exceed-action drop
 rate-limit output access-group 120 512000 128000 256000 conform-action transmit exceed-action drop

как считать https://m.habrahabr.ru/post/172789/

zabbix snmp cisco device

Замониторить с помощью заббикса cisco switch или router — очень хорошая идея. Повозившись с шаблонами из cisco устройств удается вытащить очень много полезной информации. Чтобы кошка начала отвечать на snmp запросы необходимо добавить в ее конфигурацию следующие строки (приведены в качестве примера)

snmp-server community ITOcenter RO
snmp-server location SDN
snmp-server contact c891-pf

Далее нужно добавить в zabbix соответствующий хост, причепить к нему шаблон/шаблоны и наслаждаться результатом.