Table of Contents
Router Cisco
Recuperare password persa
Annotare il configuration register
Prima di intervenire per recuperare una password dimenticata conviene annotare il valore corrente del configuration register, se si ha accesso al router dare il comando:
cisco>show version Cisco Internetwork Operating System Software IOS (tm) C837 Software (C837-K9O3Y6-M), Version 12.3(2)XC2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) ... Configuration register is 0x2102
Annotare il valore, in questo caso 0x2102. Normalmente si ha 0x2102 oppure 0x102.
Ottenere il prompt "enable"
- Spengere il router
- Collegare il cavetto console e avviare un programma terminale tipo minicom
- Accendere il router, inviare un Ctrl-Break (Ctrl-A-F in minicom, Ctrl-Break in Hyperterminal)
- La sequenza di boot si interrompe e presenta il prompt
rommon 1 >
Per un Router Cisco 1700:
rommon 1 > confreg 0x142 You must reset or power cycle for new config to take effect rommon 2 > reset
Per un Router Cisco 2500, Cisco 800 oppure Cisco SOHO:
rommon 1> confreg 0x2142 rommon 2> reset
Dopo questa procedura il router si avvia senza caricare la configurazione salvata nella memoria non volatile. Si salta la procedura di configurazione iniziale e si arriva al prompt.
Would you like to enter the initial configuration dialog? [yes/no]: no Press RETURN to get started! Router>
Si può quindi passare alla modalità superutente e visualizzare con show configuration la configurazione che risiede nella memoria non volatile:
Router>enable Router#show configuration Using 1629 out of 131072 bytes ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec ...
Cosa si vede invece con show startup-config? Secondo me sono la stessa identica cosa.
Recuperare la vecchia configurazione eccetto la password
Si copia la configurazione dalla memoria non volatile alla memoria corrente, si cambia la password di enable e si abilitano tutte le interfacce che servono:
#copy startup-config running-config #show ip interface brief #configure terminal (config)#enable secret <password> (config)#interface ATM0 (config-if)#no shutdown (config-if)#exit (config)#interface ATM0.1 (config-subif)#no shutdown (config-subif)#exit (config)#interface Ethernet0 (config-if)#no shutdown (config-if)#exit ... (config)#exit
Potrebbe essere abilitato uno o più username con password di primo livello (password in chiaro o criptata, lo si vede dalla configurazione corrente). Per disabilitarlo:
#show running-config ... username service password 0 ServiceSecret username admin password 7 113A160D18210E0F162F3F ... #configure terminal (config)#no username service (config)#no username admin
Infine si reimposta il valore del registro di configurazione, in modo che al prossimo boot parta dalla configurazione fatta e si salva la configurazione nella startup-config.
#configure terminal (config)#config-register 0x2102 (config)#exit #write
VPN IPSEC con Router Cisco Soho
Qui un file di configurazione di esempio.
Configurazione server DHCP
Vedere Configuring DHCP.
In questo esempio si configura un pool pari a tutta la ntework 192.168.2.0/24 ad eccezione dei primi 10 indirizzi. Il router (che funziona da server DHCP e gateway) ha indirizzo 192.168.2.1:
#configure terminal (config)#ip dhcp excluded-address 192.168.2.1 192.168.2.10 (config)#ip dhcp pool DHCP-POOL (dhcp-config)#network 192.168.2.0 255.255.255.0 (dhcp-config)#default-router 192.168.2.1 (dhcp-config)#dns-server 151.99.125.3 8.8.8.8 (dhcp-config)#lease 0 2 (dhcp-config)#exit (config)#exit #write memory
Accesso telnet
Per consentire l'accesso alla console via telnet dalla rete locale (192.168.1.0/255.255.255.0), dalla DMZ (5.63.172.0/255.255.255.248) e da un indirizzo esterno (62.48.51.8) bisogna creare una ACL e aggiungerla alla linea vty:
access-list 90 permit 192.168.1.0 0.0.0.255 access-list 90 permit 5.63.172.0 0.0.0.7 access-list 90 permit 62.48.51.8 line vty 0 4 access-class 90 in privilege level 15 password 7 103A0C6124234107 login local transport input telnet
Notare che nell'access list la netmask va scritta negata (operazione NOT).
Qualità connessione DSL
Come valutare la qualità del segnale ADSL su un Cisco 877:
Router#show dsl interface ATM 0
ATM0
Alcatel 20190 chipset information
ATU-R (DS) ATU-C (US)
Modem Status: Showtime (DMTDSL_SHOWTIME)
DSL Mode: ITU G.992.1 (G.DMT) Annex A
ITU STD NUM: 0x01 0x1
Vendor ID: 'STMI' 'TSTC'
Vendor Specific: 0x0000 0x0000
Vendor Country: 0x0F 0xB5
Chip ID: C196 (0)
DFE BOM: DFE3.0 Annex A (1)
Capacity Used: 100% 100%
Noise Margin: 11.5 dB 13.0 dB
Output Power: 20.0 dBm 12.5 dBm
Attenuation: 41.0 dB 23.5 dB
Defect Status: None None
Last Fail Code: None
Watchdog Counter: 0xE0
Watchdog Resets: 0
Selftest Result: 0x00
Subfunction: 0x00
Interrupts: 8254 (0 spurious)
PHY Access Err: 0
Activations: 1
LED Status: ON
LED On Time: 100
LED Off Time: 100
Init FW: init_AMR-3.0.014_no_bist.bin
Operation FW: AMR-3.0.014.bin
FW Source: embedded
FW Version: 3.0.14
Interleave Fast Interleave Fast
Speed (kbps): 5888 0 736 0
Cells: 383635 0 23443 0
Reed-Solomon EC: 8 0 0 0
CRC Errors: 0 0 0 0
Header Errors: 0 0 0 0
Total BER: 0E-0 0E-0
Leakage Average BER: 0E-0 0E-0
ATU-R (DS) ATU-C (US)
Bitswap: enabled enabled
Bitswap success: 0 0
Bitswap failure: 0 0
LOM Monitoring : Disabled
Si vedono i parametri downstream (download) e upstram (upload), il valore di Noise Margin (detto anche rapporto segnale/rumore) è il fattore più importante.
Questa una tabella esplicativa del rapporto segnale/rumore (SNR), dove un numero maggiore è meglio:
| SNR Signal/Noise Ratio (Noise Margin) | |
|---|---|
| 6dB or below | Noise margin is bad, it will experience no synch or intermittent synch problems |
| 7dB-10dB | Fair but does not leave much room for variances in conditions |
| 11dB-20dB | Good with little or no synch problems (if no large variation) |
| 20dB-28dB | Excellent |
| 29dB or above | Outstanding |
L'attenuazione aumenta di solito con la distanza percorsa dal segnale, un valore minore è meglio:
| Attenuation | |
|---|---|
| 20-30 | Excellent |
| 30-40 | Very Good |
| 40-60 | Average |
La velocità di allineamento della portante è indicata da Speed (kbps) Interleave, nell'esempio sopra abbiamo 5888 kbit in download e 736 kbit in upload.
Altro comando per verificare la velocità di allineamento in download:
Router#show interfaces ATM 0
ATM0 is up, line protocol is up
Hardware is MPC ATMSAR (with Alcatel ADSL Module)
MTU 4470 bytes, sub MTU 4470, BW 736 Kbit, DLY 500 usec,
reliability 255/255, txload 1/255, rxload 8/255
Encapsulation ATM, loopback not set
Encapsulation(s): AAL5 AAL2, PVC mode
10 maximum active VCs, 1024 VCs per VP, 2 current VCCs
VC Auto Creation Disabled.
VC idle disconnect time: 300 seconds
Last input never, output 00:00:01, output hang never
Last clearing of "show interface" counters never
Input queue: 0/224/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: Per VC Queueing
5 minute input rate 24000 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
43749 packets input, 41209447 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
28917 packets output, 2283137 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
Il valore BW 736 Kbit indica che la portante si è allineata a 736 kbit (upload).
VLAN
Il router Cisco 877 ha 4 porte Ethernet che possono essere configurate in VLAN. L'impostazione predefinita è che tutte le porte sono untagged su Vlan1 (switchport access vlan 1), cioè si configura l'interfaccia Vlan1 e tutte le porte sono collegate (in bridge) con tale interfaccia.
In questo esempio si configura la quarta porta FastEthernet3 su una VLAN separata, con un diverso indirizzo IP, ecc.
Anzitutto si definisce la Vlan2:
Router#vlan database
Router(vlan)#vlan 2
Router(vlan)#show
VLAN ISL Id: 1
Name: default
Media Type: Ethernet
VLAN 802.10 Id: 100001
State: Operational
MTU: 1500
Translational Bridged VLAN: 1002
Translational Bridged VLAN: 1003
VLAN ISL Id: 2
Name: VLAN0002
Media Type: Ethernet
VLAN 802.10 Id: 100002
State: Operational
MTU: 1500
...
Quindi si configura la porta Ethernet e l'interfaccia virtuale:
interface FastEthernet3 switchport access vlan 2 ... interface Vlan2 ip address 172.16.1.1 255.255.255.0 ...
ATTENZIONE: configurare prima il database delle VLAN e dopo assegnare la porta alla VLAN con il comando switchport, altrimenti l'interfaccia non funziona (manca la rotta per la rete locale direttamente connessa, verificare con il comando show ip route).
SNMP
Esempio per abilitare il monitoraggio via SNMP, community public in sola lettura, filtrato con una access list:
Router#configure terminal Router(config)#snmp-server community public ro 60 Router(config)#access-list 60 permit 10.2.0.1
CISCO 800 - SNMP OIDs for ADSL Line
| Data | Example | SNMP data |
|---|---|---|
| Noise Margin Downstrem | 11.5 dB | iso.3.6.1.2.1.10.94.1.1.3.1.4.11 = Gauge32: 115 |
| Noise Margin Upstream | 12.0 dB | iso.3.6.1.2.1.10.94.1.1.2.1.4.11 = Gauge32: 120 |
| Attenuation Downstrem | 17.0 dB | iso.3.6.1.2.1.10.94.1.1.3.1.5.11 = Gauge32: 170 |
| Attenuation Upstream | 17.0 dB | iso.3.6.1.2.1.10.94.1.1.2.1.5.11 = Gauge32: 170 |
| Speed US Channel0 | 532 kbps | iso.3.6.1.2.1.10.94.1.1.3.1.8.11 = Gauge32: 532000 |
| Speed DS Channel0 | 3898 kbps | iso.3.6.1.2.1.10.94.1.1.2.1.8.11 = Gauge32: 3898000 |
| Interface Dialer 1 input | bytes | iso.3.6.1.2.1.2.2.1.10.15 = Counter32: 232357736 |
| Interface Dialer 1 output | bytes | iso.3.6.1.2.1.2.2.1.16.15 = Counter32: 11197059 |
Backup/restore configurazione via TFTP
Predisporre una connessione LAN tra il router ed un host con un server TFTP (es. tftpd-hpa in Debian). Viene chiesto l'indirizzo IP del server e il nome da dare al file:
copy run tftp
La procedura inversa:
copy tftp run copy run start