Kategori CISCO

cisco: kex: algorithm: diffie-hellman-group1-sha1

Donnerstag, Dezember 1st, 2016

Auf unsere CISCO 4500 haben wir ein ios mit SSH. Leider ist das aber eine SSH die schon etwas in die Jahre gekommen ist. Somit meckert meine SSH unter Ubuntu 16.04 das die Ciphers (Verschlüsselungsverfahren) nicht erlaubt sind.

ssh admin@switch
Unable to negotiate with switch port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1

Dies kann man zum Glück noch explizit aktivieren:
ssh admin@switch -oKexAlgorithms=+diffie-hellman-group1-sha1
Password:
Switch>

Damit ich zukünftig dies nicht immer wieder hier nachlesen muss. Habe ich dies in meine .ssh/config dauerhaft verdrahtet.

Host switch
KexAlgorithms=+diffie-hellman-group1-sha1


Die beiden Cisco 4500 kurz nach dem Einbau.

Zusammenfassung der geplanten Stromabschaltung zwischen 08:00 und 13:00.

Mittwoch, Juli 13th, 2016

In der Bayernallee war für den Samstag 09.08. eine geplanten Stromabschaltung zwischen 08:00 und 13:00 durch die Stawag angekündigt worden.

Leider hatten wir den CISCO Switch seit über 5 1/2 Jahren nicht neu gestartet, aber der reihe nach.
cisco-4006

8:15 wurde der Strom abgeschaltet.
8:43 gingen die USVs der Ciso 4006 gingen zu neige.
10:13 Strom wurde wieder eingeschaltet.

12:56 Eintreffen meinerseits in der Bayernalle für eine erste Analyse:

  • Cisco zeit den Status Fail an. Ein Neustart der Cisco so wie das Resetten
    der Superviso war ohne Erfolg. Nach 3Sec Grünen Blinken fällt die Sup in den
    Status Fail zurück.
  • Suchen nach Cisco Konsolen Kable.

14:00 Abreise meinerseits mit neuer Terminfindung für den späten Abend.

14:00 – 23:45 Mehrere Koordinationsgespräche. Suche von privater Hardware.
23:50 Eintreffen mit einem Kollegen in der Bayernallee. Erneute Analyse mit Konsolenkable.

  • Sup gab aber leider keinerlei Status
  • CF Karte war Leer ohne Dateisystem
  • Vorbeiteitung Notlösung, suche nach dem zweitem HP Switch und den SFP Adaptern.
  • Einbau der 3com Karte in Chistoph Router
    Begründung: Hier sind bereits alle Routing Funktionalitäten Installiert
    und VLAN Feachers vorhanden.

03:00 Erfolgreicher Funktionstest und Verbindung zum Internet. Vorbereitung umbau der
Netzwerkinfrastruktur auf 100Mbit Switches.
04:00 Erster Netzwerk Test nicht erfolgreich, vermutlich eine Loop
gesteckt.

04:30 Zweiter Netzwektest Erfolgreich. Edorome Test erfolgreich. Fahrt
nach hause!

Nach dem Umstecken sah unsere Notlösung etwas chaotisch aus, die CISCO 4006 etwas leer, dafür waren die 144 Bewohner am nächsten morgen wieder sehr glücklich.
nwr12

howto enable cisco remote loggin

Freitag, April 17th, 2015

Um mitzubekommen welche Kable bzw. welche Portds am cisco Switch aktiviert werden leiten wir die Evends an einen Remote Server weiter.

An diesen haben wir lediglich in der /etc/rsyslog.conf das udp Modul aktiviert.
# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

In der firewall den Port 514 geöffnet und den Dinst neugestartet.
/etc/init.d/rsyslog restart

Auf dem cisco switch habe ich dann den Server angegeben an den die Login daten gesendet werden sollen.
c6506(config)#logging 10.0.0.2

Und die Interfaces mitgeteilt das auf diesen mitgeloogt werden soll.
c6506(config-if-range)#interface range Gi1/1-48
c6506(config-if-range)#logging event link-status

In /var/log/syslog sieht das dann so aus:
%LINK-3-UPDOWN: Interface GigabitEthernet1/48, changed state to down
%LINEPROTO-SP-5-UPDOWN: Line protocol on Interface GigabitEthernet1/48, changed state to down

dhcp server im Netz

Sonntag, Juni 16th, 2013

Es passiert immer wieder das irgendein Depp im Wohnheimnetz einen DHCP Server anschließt. Dies kann zur folge haben das Bewohner aufgrund einer falschen IP und default route kein Internet haben, im schlimmsten Fall kann man dadurch man in the middle attacken fahren.

Mittels dhcping bekommt man heraus welche DHCP Server im Netz antworten verteilen. So ist schnell ein Übeltäter lokalisiert.
dhcping -s 255.255.255.255 -r -v

Um dieses Problem aber generell in den Griff zu bekommen haben ich auf dem Cisco Switch DHCP snooping eingerichtet. Dafür habe ich erst alle möglichen Server Ports freigeschaltet. So kann es nicht Passieren das bei Umbauarbeiten am Netzwerk keiner mehr eine DHCP Adresse bekommt. Anschließend habe ich für das gesamte 240 VLAN das dhcp snooping aktiviert.

switch(config)#interface range GigabitEthernet 2/1-48
switch(config-if-range)#ip dhcp snooping trust
switch(config-if-range)#exit
switch(config)#ip dhcp snooping vlan 240
switch(config)#do show ip dhcp snooping

Switch DHCP snooping is disabled
DHCP snooping is configured on following VLANs:
none
Insertion of option 82 is enabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
GigabitEthernet2/1 yes unlimited

snmpget – Cannot find module

Samstag, April 27th, 2013

Beim Neuaufsätzen unseres Graphen Servers konnte snmpget keine Daten mehr von den Switches empfangen und schmiss folgende Fehlermeldung, das ein Modul nicht vorhanden sei.

/usr/bin/snmpget -v1 -c pw localhost -Oq IF-MIB::ifDescr.1
MIB search path: /root/.snmp/mibs:/usr/share/mibs/site:/usr/share/snmp/mibs:/usr/share/mibs/iana:/usr/share/mibs/ietf:/usr/share/mibs/netsnmp
Cannot find module (IF-MIB): At line 0 in (none)
IF-MIB::ifDescr.1: Unknown Object Identifier

Nach etwas strace und apt-file seach Pfand ich heraus auf welle Module snmpget zugreifen wollte. Diese konnten mit dem nachinstallierten von snmp-mibs-downloader behoben werden.

apt-get install snmp-mibs-downloader