Cisco C4506 - configuration

[rep 10]

Ich stehe gerade vor einem Netzwerk, das dieses Gerät als Zentrale Schaltstelle beinhaltet.

 

Cisco Systems, Inc. WS-C4506 6 slot switch

1 - 2 Port - 1000BaseX (GBIC) Supervisor (OfflineToOnline)

2 - 48 Port - 10/100BaseTX (RJ45) with 48 10/100 baseT ports (OfflineToOnline)

3 - 6 Port - 1000BaseX (GBIC) with 6 1000 GBIC ports (OfflineToOnline)

4 - 24 Port - 10/100BaseTX (FX-MT) with 24 100 FX ports and MTRJ connectors (OfflineToOnline)

5 - 24 Port - 10/100/1000BaseTX (RJ45) with 48 10/100/1000 TX (OfflineToOnline)

6 - 6 Port - 1000BaseX (GBIC) with 6 1000 GBIC ports (OfflineToOnline)

 

Wir haben per telner hier zugang erhalten, aber keinen Admin. Leider kann ich zwar so ein bisschen schauen, ich brauche aber einen Dump. Ich würde nun gerne den Herren die das Administrieren genau schreiben was ich brauche (wie sie das machen) damit da nicht noch mehr Zeit drauf geht.

 

Ebenso wüßte ich gerne was ich dazu brauche, Also ob ich einen FTP, TFTP Server bereitstellen muss damit Sie mir das geben können etc.

 

Hier die Software:

Cisco Internetwork Operating System Software

IOS Catalyst 4000 L3 Switch Software (cat4000-IK2S-M), Version 12.1(13)EW1, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)

TAC Support: Cisco – Shortcut to Technical Support

Copyright © 1986-2003 by cisco Systems, Inc.

 

Kann mir jemand dafür sagen was ich für Vorraussetzungen brauch, und welche Befehle? Das wäre super. Oder ob ich mir diesen Dump auch mit einem nicht admin User ziehen kann, was bisher aber nicht geklappt hat.

 

Danke schön.

[Otaku19 33]

kann man eher vergessen, würde eher einen mirror port machen und da eine sniffer maschine dranhängen. Dazu benötigt man allerdings ein entsprechendes priviledge level um was konfigurieren zu können.

 

Die Admins müssen also wissen welchen Port du sniffen willst und auf welchen Ports sie alles weiterkopieren sollen.

Dabei muss man natürlich die Interface Auslastung im Auge haben, schließlich wird (im theoretischen Extremfall) auf einem 100MBit Interface mit JE 100MBit gesendet UND EMPFANGEN, ergo sollte man 2 100Mbit Mirrorports (1x ingress 1x egress) oder ein Gigabit Interface nehmen

[rep 10]

Wenn ich sniffe kann ich nur relativ eingeschränkt sehen welches VLAN an welchem Port Konfiguriert ist. Was physisch läuft möchte ich später testen und mirrorn. Ich will erstmal keine BlackBox vor mir haben, sondern die Konfiguration dieser Box.

 

Meien Frage ist also wie ich diese bekommen kann. Und das will ich die Admins fragen! bzw. denen sagen wie Sie die mir zukommen lassen können.

[Servidge 10]

Ähm, mal so zum Verständnis. Unter Dump verstehst du die Konfiguration der Büchse?

 

So um einen Überblick über das Gerät zu bekommen ist ein Sh run, sh ver, sh diag interessat.

An das sh run wirst du nur ohne ein Privilege 15 account nicht kommen.

Mit nem Useraccount gibt es üblicherweise nur eine Konfigversion ohne Passwörter etc. Reicht aber für nen Überblick.

Gesammelte infos mit noch einigen infos mehr sind im sh tech zu finden.

 

Um an die Infos zu kommen reicht ssh/telnet/console/... Zugriff.

TFTP FTP Syslog ist nur interessant wenn es um Logfiledumps oder Ähnliches geht.

Wenn Netzwerktraffic mitgeschnitten werden soll muß es nen mirrorport sein.

 

Gruß

Servidge

[rep 10]

ich meine Ein Konfigurationsdump um überhaupt erstmal etwas zu erfahren, und zwar gesammelt, damit ich nicht immer alles einzeln lesen muss.

 

Ich habe gerade eine neuere Cisco (kleiner) gesehen, da geht das mit dem Vollen account mit "show running-config" das was da raus kommt, will ich haben. Welche Rechte man davon brauch, oder welche Rechte genau ich habe weiß ich ja nicht. Leider ist die Gegenstelle die das Administriert nicht sehr Kommunikativ.

 

alles was "show ?" ausgibt hab ich durch, viel mehr weiß ich nun auch nicht, ich gehe davon aus es wird da nicht alles angezeigt. Auch DHCP Helper Funktionen kann ich nirgendwo finden, und da weiß ich das Sie falsch eingestellt sind.

 

Gruß

[Servidge 10]

wie gesagt.

mit nem Useraccount sollte üblicherweise auch ein "show tech-support" bzw. "show tech-support unprivileged" funktioieren.

Das beinhaltet je nach Routertyp und Konfiguration unterschiedliche Infos. Die running Konfig ohne Passwörter etc, show Version, show interface, show diag, und nen ganzen haufen an weiteren Infos. Für nen Überblick steht schon ne Menge darin. Das einzigste was nicht dabei ist ist das Logfile (show logging).

 

zu den DHCP Helpern:

die werden unter dem jeweiligen Interface konfiguriert.

ip helper-address x.x.x.x

[Otaku19 33]

warum nicht einfach diejenigen die das Ding admiinistrieren fragen ob sie dir für deinen User nicht die entsprechenden show Befehle freigeben oder dir einfach n sh run per Mail schicken ?

[rep 10]

Hallo,

 

ich habe die Leute nach einer Konfiguration gefragt, 2 Mal nachgefragt und dann hatte ich einen telnet Benuzer der als Webbenutzer Angekündigt wurde (2 Wochen später). Mit dem kann ich wie man mergt nicht alles machen. Daher will ich der Behörde das ja so einfach und unmissverständlich wie möglich mit den Befehlen zusenden.

 

Macht euch das eigentlich nicht Stutzig, oder ist das bei Cisco schon mal "normal"

 

EARLY DEPLOYMENT RELEASE SOFTWARE

 

 

Hinzu kommt das ich die meisten Befehle ja nicht aus dem Kopf kenne, also die "show" Befehle die ich brauche und die die Cisco kann nicht benennen kann.

 

Das "show tech-support unprivileged" ging, super, nur das der hier nun auf dem terminal nicht mehr blättern läßt. bekomm ich das da irgendwie schön raus?

 

Und das "show logging" ging auch...

 

00:00:40: %C4K_EBM-4-HOSTFLAPPING: Host 00:0C:29:AB:6F:D6 in vlan 1 is flapping between port Gi5/7 and port Gi5/14

00:00:41: %C4K_EBM-4-HOSTFLAPPING: Host 00:0C:29:AB:6F:D6 in vlan 1 is flapping between port Gi5/14 and port Gi5/9

00:00:41: %C4K_EBM-4-HOSTFLAPPING: Host 00:0C:29:F7:28:DE in vlan 1 is flapping between port Gi5/14 and port Gi5/9

 

was auch immer das sagt :( aber das ist ein Ansatzpunkt... danke.

 

ich schau mal ob ich damit weiter komme, hoffe dann vielleicht mal zu verstehen was da abgeht. Ansonsten komm ich noch mal mit Fehlerbild und Konfiguratino auf euch Zu. Danke!

[rep 10]

mh... das ist echt viel was da ausgegeben wird, aber dhcp-helper und so, fehlanzeige...

 

Beispiel für das Interface, wo doch was von DHCP Helper stehen sollte wenn das am interface eingestellt wird, oder?

 

GigabitEthernet3/6 is up, line protocol is up (connected)
 Hardware is Gigabit Ethernet Port, address is 000b.5f40.ce9b (bia 000b.5f40.ce9b)
 MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
    reliability 255/255, txload 1/255, rxload 1/255
 Encapsulation ARPA, loopback not set
 Keepalive set (10 sec)
 Full-duplex, 1000Mb/s, link type is auto, media type is SX
 output flow-control is unsupported, input flow-control is unsupported
 ARP type: ARPA, ARP Timeout 04:00:00
 Last input never, output never, output hang never
 Last clearing of "show interface" counters never
 Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0
 Queueing strategy: fifo
 Output queue: 0/40 (size/max)
 5 minute input rate 0 bits/sec, 0 packets/sec
 5 minute output rate 1000 bits/sec, 2 packets/sec
    11035875 packets input, 3440546713 bytes, 0 no buffer
    Received 121288 broadcasts (0 multicast)
    0 runts, 0 giants, 0 throttles
    24225 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
    0 input packets with dribble condition detected
    12683043 packets output, 10260573827 bytes, 0 underruns
    0 output errors, 0 collisions, 0 interface resets
    0 babbles, 0 late collision, 0 deferred
    0 lost carrier, 0 no carrier
    0 output buffer failures, 0 output buffers swapped out

 

Vlan1 is up, line protocol is up
 Hardware is Ethernet SVI, address is 000c.ce64.41ff (bia 000c.ce64.41ff)
 Internet address is 10.60.96.126/25
 MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
    reliability 255/255, txload 1/255, rxload 1/255
 Encapsulation ARPA, loopback not set
 ARP type: ARPA, ARP Timeout 04:00:00
 Last input 00:00:00, output never, output hang never
 Last clearing of "show interface" counters never
 Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
 Queueing strategy: fifo
 Output queue: 0/40 (size/max)
 5 minute input rate 16000 bits/sec, 13 packets/sec
 5 minute output rate 5000 bits/sec, 3 packets/sec
 L3 in Switched: ucast: 30406672 pkt, 24527041473 bytes - mcast: 0 pkt, 0 bytes
 L3 out Switched: ucast: 25180430 pkt, 6104132786 bytes - mcast: 0 pkt, 0 bytes
    30406672 packets input, 24527041473 bytes, 0 no buffer
    Received 14571 broadcasts (131 IP multicast)
    0 runts, 0 giants, 0 throttles
    0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
    25180430 packets output, 6104132786 bytes, 0 underruns
    0 output errors, 0 interface resets
    0 output buffer failures, 0 output buffers swapped out

 

 

Wie müsste denn der show Befehl lauten um die DHCP Helper Informationen auslesen zu können? Oder sind das auch Berechtigungen, das mit dem Zusenden per E-Mail war mein erster Gedanke... aber wie beschrieben 2 Woche später nen User der nicht genug Rechte hat :(

 

Behörden eben.

[blackbox 10]

Hi,

 

den wirst du nur in einer show running sehen - auf dem show interface wirst du den nicht finden. Das mit Flapping - da hat jemand nen Channel versucht auf dem angeschlossenen Gerät zu bauen - aber der Switch weiss nix davon.

[Otaku19 33]

wie gesagt...lass dir doch einfach einen sh run auszug schicken, da kannst du nichts kaputt machen, siehst aber alles was die konfiguration betrifft.

[rep 10]

Wie gesagt, Anfrage mehrfach gestellt.... mal sehen was passiert.

Das mit dem Channel hab ich nicht verstanden, die Meldung mit dem Flapping kommt nur einmal direkt nach dem einschalten. Sollte mir diese doch zu denken geben?

 

Ich schau morgen mal was an den Ports angeschlossen ist.

[Servidge 10]

Das "show tech-support unprivileged" ging, super, nur das der hier nun auf dem terminal nicht mehr blättern läßt. bekomm ich das da irgendwie schön raus?

 

entweder den scrollback buffer des Terminalprogramms erhöhen oder einfach die Ausgabe in eine Datei umleiten. Je nach Terminalprogramm gestaltet sich dies einfacher oder schwieriger.

Und hinterher kann die Datei im Notepad oder sonst einem Editor geöffnet werden.

[rep 10]

So, nun hab ich von anderer Stelle ein bisschen druck machen lassen, habe die Konfiguration. Sieht für mich aber ein bisschen komisch aus. Das File ist total kurz. Ich Google und werde mich dann mal wieder melden.

 

Aber vielleicht ein paar infos schon :9

Sollte das hier nicht bedeuten das kein STP gesendet wird, oder wird anstelle von dem VLAN das dürch das Physikalische Interface gesendet?

 

spanning-tree extend system-id

no spanning-tree vlan 1-10

 

 

Und auf den Interfaces steht teilweise "nur"

 

interface GigabitEthernet1/1

switchport access vlan 9

 

sonst nichts. Und die VLANs haben dann den dhcp-helper drin.

 

interface Vlan9

ip address 10.60.x.x 255.255.255.0

ip helper-address 10.60.x.y

ip directed-broadcast

 

Muss man für VLAN nicht ein bisschen mehr Konfigurieren? und kann es so überhaupt sinn machen VLANs über mehrere Interfaces verteilen?

[Otaku19 33]

hm...weißt du denn was VLANs sind ?