Cisco – Pagina 9 – winfred.nl

Opleveren Cisco SmartCare collector

5 augustus 2015 Winfred

Download de OVF template van de Cisco site:

https://concsoweb-prd.cisco.com/smartcare/Partner/Partner_Main.jsp -> Software Download

Importeer de OVF in Vmware en zet de NIC naar het correcte netwerk, start hierna de server en bij de eerste login prompt login met de default Admin credentials (admin/admin):

Direct bij de eerste login moet het wachtwoord veranderd worden is een zelf op te geven wachtwoord. Hierna word een menu getoond met opties, eerste stap is het IP adres goed in te stellen, type in (eth 0 moet worden static, 192.0.2.1/24, hostname collector, gateway 192.0.2.254, name server 8.8.4.4, geen proxy server):

conf ip
 M

IP details
ETH0
 S
 collector
 192.0.2.1
 255.255.255.0

Name server details
y
 8.8.4.4

Proxy server details

Geen proxy instellingen

Hierna moet de server opnieuw starten om de instellingen actief te maken, geef ‘Y’ in de prompt om dit uit te voeren.

Na de reboot moet de time zone goed ingesteld worden (Europe/Amsterdam) : CSC 2 time

conf time
 Europe
 Amsterdam

y voor bevestiging
y voor ntp pool time sync

Na het opnieuw inloggen moet de server bijgewerkt worden, kies voor update en enter:

Update to download and install the latest Smart Care software. 

Enter Y to continue updating the appliance. 

Bij de URL, laat deze leeg, en geef Enter.
Bij de username/password velden geef een valide Cisco partner CCO om door te gaan.

Na de upgrade heeft de unit meer mogelijkheden en zijn er extra commando’s beschikbaar.

Nu moet de unit aangemeld worden en moet er ingelogd worden met de Cisco credentials (cisco/cisco). Direct bij de eerste login moet het wachtwoord veranderd worden is een zelf op te geven wachtwoord. Hierna word een menu getoond met opties, kies voor de optie ‘Ena’ en geef het admin wachtwoord op.

Om de updates voortaan automatisch te laten gaan moet het volgende commando uitgevoerd worden:

conf serv enable

Om de server aan te melden op de Smart Care cloud is het nodig deze te registreren, dit kan via deze methode. Geef in de enable modus het commando ‘register’ in: CSC 6 register

register



Op de volgende pagina geef enter voor de URL (tools.cisco.com)
en geef het correcte CCO ID op.

Vul de naam van de Collector in en geef een extra enter.

Eindig met een 'y' om deze collector te registreren met bovenstaande gegevens.

De collector is nu geregistreerd en kan nu via de portal verder bediend worden.

Cisco, Monitoring

PPP Per Session Queueing and Shaping Using RADIUS

17 juli 2015 Winfred

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/bbdsl/configuration/xe-3s/asr1000/bba-xe-3s-asr1000-book/bba-ppoe-ses-q-rad-xe.html#GUID-4F310583-68C0-4B5F-BDE6-BBE01C06D2AE

Cisco

Cisco IOS DNS auth/recursive

9 juli 2015 Winfred

ip dns view Event-Wifi
domain timeout 5
dns forwarder 208.67.222.222
dns forwarder 208.67.220.220
ip dns view-list Event-Wifi
view Event-Wifi 100
restrict source access-group 2
!
ip dns server view-group Event-Wifi
ip dns server
ip dns primary event.wifi soa ns.event.wifi postmaaster.event.wifi 21600 900 7776000 86400

Cisco, Security

Cisco back dialer-watch

9 juli 2015 Winfred

interface Cellular0
dialer watch-group 1
!
dialer watch-list 1 ip 5.6.7.8 0.0.0.0
dialer watch-list 1 delay route-check initial 60
dialer watch-list 1 delay connect 1

Cisco, Monitoring, Security

Cisco IOS reflective ACL

9 juli 2015 Winfred

interface Cellular0
ip access-group public-inbound-packet-catcher in
ip access-group public-outbound-packet-listener out
!
ip access-list extended public-inbound-packet-catcher
remark -= icmp permit’s and deny’s =-
permit icmp any any net-unreachable
permit icmp any any host-unreachable
permit icmp any any port-unreachable
permit icmp any any packet-too-big
permit icmp any any administratively-prohibited
permit icmp any any source-quench
permit icmp any any ttl-exceeded
permit icmp any any echo-reply
deny icmp any any
permit tcp any any eq 1723
permit gre any any
permit udp any eq isakmp any eq isakmp
permit esp any any
remark -= allow ssh and dns =-
permit tcp any any eq 22 log
permit tcp any any eq www log
permit udp any eq domain any
remark -= returning traffic =-
evaluate outside-access-in-reflexive-temporary-list
deny ip any any log-input
ip access-list extended public-outbound-packet-listener
permit tcp any any reflect outside-access-in-reflexive-temporary-list timeout 3600
permit udp any any reflect outside-access-in-reflexive-temporary-list timeout 3600

Cisco, Security

IPv6 6vpe Radius AVP

3 juli 2015 Winfred

http://blog.ipspace.net/2011/09/ipv6-mplsvpn-6vpe-with-pppoe-and-radius.html

Cisco, Security

Basic IOS config (o.a. VTP en NTP)

23 juni 2015 Winfred

no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime localtime show-timezone
service password-encryption
!
clock timezone CET 1 0
clock summer-time SUM recurring last Sun Mar 2:00 last Sun Oct 3:00
!
aaa new-model
aaa authentication login local local
!
vtp mode transparent
!
username outeradmin secret PASSWORD
!
enable secret PASSWORD
!
no ip domain-lookup
!
ip domain-name routit.net
!
spanning-tree mode rapid-pvst
!
no ip http server
no ip http secure-server
!
banner exec ^

Organisatie : winfred.nl
Lokatie : site
Beheer : iemand @ winfred . nl
Installatie : iemand @ winfred . nl

^
banner motd ^
Waarschuwing !!!
Toegang tot dit systeem en informatie verkregen door middel van
deze systemen is strikt vertrouwelijk en in eigendom van

MOI

Toegang tot deze systemen en informatie is alleen met uitdrukkelijke
toestemming van de eigenaar geoorloofd, elke andere vorm van toegang
is niet toegestaan en kan juridische gevolgen hebben.
^
!
! NMS station SNMP
access-list 1 permit 172.31.180.10
!
! NMS station SSH
access-list 23 permit 10.35.0.0 0.0.255.255
!
line con 0
line vty 0 15
session-timeout 5
access-class 23 in
login authentication local
transport input ssh
!
snmp-server community 754d7066ab385bb0d44b6361d78faef1 RO 1
snmp-server ifindex persist
snmp-server location site
snmp-server contact iemand @ winfred . nl
snmp-server enable traps snmp linkdown linkup coldstart warmstart
snmp-server enable traps tty
!
! ntp update-calendar
! ntp0.nl.uu.net
ntp server 193.67.79.202
! ntp.pool.tu.nl
ntp server 193.79.237.14 prefer

Achtergrond:

http://www.firewall.cx/cisco-technical-knowledgebase/cisco-routers/334-cisco-router-ntp.html

Cisco

ASA basic | fail-over

3 juni 2015 Winfred

Controle context mode:

ASA-lab# sh mode
Security context mode: multiple

Verwijderen call-home config

ASA-lab(config)# clear config call-home
ASA-lab(config)# no service call-home

Aanmaken Admin context:

ASA-lab(config)# admin-context admin
Creating context 'admin'... Done. (1)

Aanmaken interfaces:

interface GigabitEthernet0/0
 channel-group 1 mode active
 speed 1000
!
interface GigabitEthernet0/1
 channel-group 1 mode active
 speed 1000
!
interface GigabitEthernet0/2
 description FailOver HA
 speed 1000
!
interface GigabitEthernet0/3
 description FailOver FT
 speed 1000
!
interface Port-channel1
!
interface Port-channel1.300
 description ASA-Lab HA
 vlan 300
!
interface Port-channel1.301
 description ASA-Lab FT
 vlan 301
!
interface Port-channel1.302
 description ASA-Lab Admin
 vlan 302

Instellen Admin context:

ASA-lab(config)# context admin
ASA-lab(config-ctx)# description Admin-context
ASA-lab(config-ctx)# config-url disk0:/admin-beheer.cfg

WARNING: Could not fetch the URL disk0:/admin-beheer.cfg
INFO: Creating context with default config
INFO: Admin context will take some time to come up .... please wait.

ASA-lab(config-ctx)# allocate-interface interface Port-channel1.302 Beheer

Instellen FO:

interface Redundant1
 member-interface GigabitEthernet0/2

Primary UNIT:

failover 
failover lan unit primary
failover lan interface LAN Redundant1
failover key wachtwoord
failover replication http
failover link LAN Redundant1
failover interface ip LAN 169.254.255.1 255.255.255.252 standby 169.254.255.2
failover group 1
 replication http
 
Secondary UNIT:
 
failover 
failover lan unit secondary
failover lan interface LAN Redundant1
failover key wachtwoord
failover replication http 
failover link LAN Redundant1 
failover interface ip LAN 169.254.255.1 255.255.255.252 standby 169.254.255.2 
failover group 1 
 replication http

Instellen admin context:

ASA-lab# changeto context admin

interface Beheer
 nameif Beheer
 security-level 100
 ip address 192.0.2.1 255.255.255.248 standby 192.0.2.2
!
http server enable
http 192.0.2.0 255.255.255.0 Beheer
!
user-identity default-domain LOCAL
aaa authentication enable console LOCAL 
aaa authentication ssh console LOCAL 
aaa authentication secure-http-client

Cisco, Security

ASA security Netflow

29 mei 2015 Winfred

http://www.cisco.com/c/en/us/td/docs/security/asa/asa90/configuration/guide/asa_90_cli_config/monitor_nsel.html#68826

Cisco, Security

ISG ; login based on IP/MAC

29 mei 2015 Winfred

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-3s/isg-xe-3s-book/isg-auto-sub-logon.html/index.html#GUID-6C9CCCB3-8EB2-4CEE-A8AA-578A883EA6DE

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-3s/asr1000/isg-xe-3s-asr1000-book/isg-netwk-acess-pol.html

https://cisco-images.test.edgekey.net/c/en/us/td/docs/ios-xml/ios/bbdsl/configuration/xe-3s/bba-xe-3s-book.pdf

http://www.postseek.com/meta/c89669f50ef996712b544922d4d6ff80

Cisco

« 1 … 7 8 9 10 11 … 15 »