====== Router Cisco ======
====== Recuperare password persa ======
===== Annotare il configuration register =====
Prima di intervenire per recuperare una password dimenticata conviene annotare il valore corrente del **configuration register**, se si ha accesso al router dare il comando:
cisco>show version
Cisco Internetwork Operating System Software
IOS (tm) C837 Software (C837-K9O3Y6-M), Version 12.3(2)XC2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)
...
Configuration register is 0x2102
Annotare il valore, in questo caso **0x2102**. Normalmente si ha 0x2102 oppure 0x102.
===== Ottenere il prompt "enable" =====
- Spengere il router
- Collegare il cavetto console e avviare un programma terminale tipo minicom
- Accendere il router, inviare un Ctrl-Break (**Ctrl-A-F** in minicom, **Ctrl-Break** in Hyperterminal)
- La sequenza di boot si interrompe e presenta il prompt ''**rommon 1 >**''
Per un **Router Cisco 1700**:
rommon 1 > confreg 0x142
You must reset or power cycle for new config to take effect
rommon 2 > reset
Per un **Router Cisco 2500**, **Cisco 800** oppure **Cisco SOHO**:
rommon 1> confreg 0x2142
rommon 2> reset
Dopo questa procedura il router si avvia senza caricare la configurazione salvata nella memoria non volatile. **Si salta** la procedura di configurazione iniziale e si arriva al prompt.
Would you like to enter the initial configuration dialog? [yes/no]: no
Press RETURN to get started!
Router>
Si può quindi passare alla modalità superutente e visualizzare con **show configuration** la configurazione che risiede nella memoria non volatile:
Router>enable
Router#show configuration
Using 1629 out of 131072 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
...
Cosa si vede invece con **show startup-config**? Secondo me sono la stessa identica cosa.
===== Recuperare la vecchia configurazione eccetto la password =====
Si copia la configurazione dalla memoria non volatile alla memoria corrente, si cambia la password di enable e si abilitano tutte le interfacce che servono:
#copy startup-config running-config
#show ip interface brief
#configure terminal
(config)#enable secret
(config)#interface ATM0
(config-if)#no shutdown
(config-if)#exit
(config)#interface ATM0.1
(config-subif)#no shutdown
(config-subif)#exit
(config)#interface Ethernet0
(config-if)#no shutdown
(config-if)#exit
...
(config)#exit
Potrebbe essere abilitato uno o più username con password di primo livello (password in chiaro o criptata, lo si vede dalla configurazione corrente). Per disabilitarlo:
#show running-config
...
username service password 0 ServiceSecret
username admin password 7 113A160D18210E0F162F3F
...
#configure terminal
(config)#no username service
(config)#no username admin
Infine si reimposta il valore del registro di configurazione, in modo che al prossimo boot parta dalla configurazione fatta e si salva la configurazione nella startup-config.
#configure terminal
(config)#config-register 0x2102
(config)#exit
#write
====== VPN IPSEC con Router Cisco Soho ======
Qui un {{doc:appunti:misc:cisco_soho_ipsec_config.txt.gz|file di configurazione}} di esempio.
====== Configurazione server DHCP ======
Vedere **[[http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00800ca75c.html|Configuring DHCP]]**.
In questo esempio si configura un pool pari a tutta la ntework **192.168.2.0/24** ad eccezione dei primi 10 indirizzi. Il router (che funziona da server DHCP e gateway) ha indirizzo **192.168.2.1**:
#configure terminal
(config)#ip dhcp excluded-address 192.168.2.1 192.168.2.10
(config)#ip dhcp pool DHCP-POOL
(dhcp-config)#network 192.168.2.0 255.255.255.0
(dhcp-config)#default-router 192.168.2.1
(dhcp-config)#dns-server 151.99.125.3 8.8.8.8
(dhcp-config)#lease 0 2
(dhcp-config)#exit
(config)#exit
#write memory
====== Accesso telnet ======
Per consentire l'accesso alla console via telnet dalla rete locale (192.168.1.0/255.255.255.0), dalla DMZ (5.63.172.0/255.255.255.248) e da un indirizzo esterno (62.48.51.8) bisogna creare una ACL e aggiungerla alla linea **''vty''**:
access-list 90 permit 192.168.1.0 0.0.0.255
access-list 90 permit 5.63.172.0 0.0.0.7
access-list 90 permit 62.48.51.8
line vty 0 4
access-class 90 in
privilege level 15
password 7 103A0C6124234107
login local
transport input telnet
Notare che nell'access list la netmask va scritta negata (operazione NOT).
====== Qualità connessione DSL ======
Come valutare la qualità del segnale ADSL su un Cisco 877:
Router#show dsl interface ATM 0
ATM0
Alcatel 20190 chipset information
ATU-R (DS) ATU-C (US)
Modem Status: Showtime (DMTDSL_SHOWTIME)
DSL Mode: ITU G.992.1 (G.DMT) Annex A
ITU STD NUM: 0x01 0x1
Vendor ID: 'STMI' 'TSTC'
Vendor Specific: 0x0000 0x0000
Vendor Country: 0x0F 0xB5
Chip ID: C196 (0)
DFE BOM: DFE3.0 Annex A (1)
Capacity Used: 100% 100%
Noise Margin: 11.5 dB 13.0 dB
Output Power: 20.0 dBm 12.5 dBm
Attenuation: 41.0 dB 23.5 dB
Defect Status: None None
Last Fail Code: None
Watchdog Counter: 0xE0
Watchdog Resets: 0
Selftest Result: 0x00
Subfunction: 0x00
Interrupts: 8254 (0 spurious)
PHY Access Err: 0
Activations: 1
LED Status: ON
LED On Time: 100
LED Off Time: 100
Init FW: init_AMR-3.0.014_no_bist.bin
Operation FW: AMR-3.0.014.bin
FW Source: embedded
FW Version: 3.0.14
Interleave Fast Interleave Fast
Speed (kbps): 5888 0 736 0
Cells: 383635 0 23443 0
Reed-Solomon EC: 8 0 0 0
CRC Errors: 0 0 0 0
Header Errors: 0 0 0 0
Total BER: 0E-0 0E-0
Leakage Average BER: 0E-0 0E-0
ATU-R (DS) ATU-C (US)
Bitswap: enabled enabled
Bitswap success: 0 0
Bitswap failure: 0 0
LOM Monitoring : Disabled
Si vedono i parametri **downstream** (download) e **upstram** (upload), il valore di **Noise Margin** (detto anche rapporto segnale/rumore) è il fattore più importante.
Questa una tabella esplicativa del **rapporto segnale/rumore (SNR)**, dove un numero **maggiore è meglio**:
^ SNR Signal/Noise Ratio (Noise Margin) ^^
^ 6dB or below | Noise margin is bad, it will experience no synch or intermittent synch problems |
^ 7dB-10dB | Fair but does not leave much room for variances in conditions |
^ 11dB-20dB | Good with little or no synch problems (if no large variation) |
^ 20dB-28dB | Excellent |
^ 29dB or above | Outstanding |
L'attenuazione aumenta di solito con la distanza percorsa dal segnale, un valore **minore è meglio**:
^ Attenuation ^^
^ 20-30 | Excellent |
^ 30-40 | Very Good |
^ 40-60 | Average |
La **velocità di allineamento** della portante è indicata da **Speed (kbps)** **Interleave**, nell'esempio sopra abbiamo 5888 kbit in download e 736 kbit in upload.
Altro comando per verificare la velocità di allineamento in download:
Router#show interfaces ATM 0
ATM0 is up, line protocol is up
Hardware is MPC ATMSAR (with Alcatel ADSL Module)
MTU 4470 bytes, sub MTU 4470, BW 736 Kbit, DLY 500 usec,
reliability 255/255, txload 1/255, rxload 8/255
Encapsulation ATM, loopback not set
Encapsulation(s): AAL5 AAL2, PVC mode
10 maximum active VCs, 1024 VCs per VP, 2 current VCCs
VC Auto Creation Disabled.
VC idle disconnect time: 300 seconds
Last input never, output 00:00:01, output hang never
Last clearing of "show interface" counters never
Input queue: 0/224/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: Per VC Queueing
5 minute input rate 24000 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
43749 packets input, 41209447 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
28917 packets output, 2283137 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
Il valore **BW 736 Kbit** indica che la portante si è allineata a 736 kbit (upload).
====== VLAN ======
Il router Cisco 877 ha 4 porte Ethernet che possono essere configurate in VLAN. L'impostazione predefinita è che **tutte le porte sono untagged su Vlan1** (''switchport access vlan 1''), cioè si configura l'interfaccia Vlan1 e tutte le porte sono collegate (in bridge) con tale interfaccia.
In questo esempio si configura la quarta porta **FastEthernet3** su una VLAN separata, con un diverso indirizzo IP, ecc.
Anzitutto si definisce la Vlan2:
Router#vlan database
Router(vlan)#vlan 2
Router(vlan)#show
VLAN ISL Id: 1
Name: default
Media Type: Ethernet
VLAN 802.10 Id: 100001
State: Operational
MTU: 1500
Translational Bridged VLAN: 1002
Translational Bridged VLAN: 1003
VLAN ISL Id: 2
Name: VLAN0002
Media Type: Ethernet
VLAN 802.10 Id: 100002
State: Operational
MTU: 1500
...
Quindi si configura la porta Ethernet e l'interfaccia virtuale:
interface FastEthernet3
switchport access vlan 2
...
interface Vlan2
ip address 172.16.1.1 255.255.255.0
...
**ATTENZIONE**: configurare **prima** il database delle VLAN e **dopo** assegnare la porta alla VLAN con il comando ''switchport'', altrimenti l'interfaccia non funziona (manca la rotta per la rete locale direttamente connessa, verificare con il comando **''show ip route''**).
====== SNMP ======
Esempio per abilitare il monitoraggio via SNMP, community **public** in sola lettura, filtrato con una access list:
Router#configure terminal
Router(config)#snmp-server community public ro 60
Router(config)#access-list 60 permit 10.2.0.1
====== CISCO 800 - SNMP OIDs for ADSL Line ======
^ Data ^ Example ^ SNMP data ^
^ Noise Margin Downstrem | 11.5 dB | iso.3.6.1.2.1.10.94.1.1.3.1.4.11 = Gauge32: 115 |
^ Noise Margin Upstream | 12.0 dB | iso.3.6.1.2.1.10.94.1.1.2.1.4.11 = Gauge32: 120 |
^ Attenuation Downstrem | 17.0 dB | iso.3.6.1.2.1.10.94.1.1.3.1.5.11 = Gauge32: 170 |
^ Attenuation Upstream | 17.0 dB | iso.3.6.1.2.1.10.94.1.1.2.1.5.11 = Gauge32: 170 |
^ Speed US Channel0 | 532 kbps | iso.3.6.1.2.1.10.94.1.1.3.1.8.11 = Gauge32: 532000 |
^ Speed DS Channel0 | 3898 kbps | iso.3.6.1.2.1.10.94.1.1.2.1.8.11 = Gauge32: 3898000 |
^ Interface Dialer 1 input | bytes | iso.3.6.1.2.1.2.2.1.10.15 = Counter32: 232357736 |
^ Interface Dialer 1 output | bytes | iso.3.6.1.2.1.2.2.1.16.15 = Counter32: 11197059 |
====== Backup/restore configurazione via TFTP ======
Predisporre una connessione LAN tra il router ed un host con un server TFTP (es. **tftpd-hpa** in Debian). Viene chiesto l'indirizzo IP del server e il nome da dare al file:
copy run tftp
La procedura inversa:
copy tftp run
copy run start