Stefan Bauer - linux - because it works

longtime linux user and opensource fanatic
Posts tagged as cisco

ip helper-address & broadcasts - cisco - allied telesis

2011-04-26 by Stefan Bauer, tagged as cisco, network
Was macht die Option ip helper-address auf Cisco und Allied Telesis switches und ist sie notwendig?

In gerouteten Netzen werden Ethernet-Frames an die Broadcast-Adresse FF:FF:FF.... nicht über Netzgrenzen weitergeleitet. In Fällen von nur einem DHCP-Server jedoch mehreren verschiedenen IP-Subnetzen mit Routern als Verbindung muss eine Möglichkeit geschaffen werden, die Broadcast-Pakete, welche von DHCP genutzt werden, weiterzuleiten.


ip helper-address 192.168.10.29

Der Client ist im Netz 192.168.12.0

Cisco Certified Entry Networking Technician

2011-04-12 by Stefan Bauer, tagged as cisco

cisco 7960 ip phone rocks!

2011-03-08 by Stefan Bauer, tagged as cisco
Bin sehr zufrieden mit dem Cisco IP Telefon. Wichtig ist, dass man bei der Anschaffung darauf achtet, dass eine SIP-Firmware enthalten ist. Es lässt sich später keine Firmware mehr erwerben. Grundsätzlich wird das Telefon per TFTP mit einer Konfigurationsdatei angepasst. Es lassen sich aber auch fast alle Einstellungen (bis auf das Logo im Display oder ein Wahlplan) direkt im Telefon vornehmen. Derzeit verwende ich das Telefon mit meinem 1und1 SIP Festnetzanschluss - also mit meiner Festnetznummer. Zusätzliche habe ich mir bei ekiga.net ein kostenloes SIP-Konto angelegt. So kann ich nun auch direkt mit dem Telefon direkte SIP-Anrufe an beliebige Empfänger durchführen. Achja bevor ich es vergesse - diese Telefone sind POE fähig, es wird standardmäßig kein Netzteil mitgeliefert!

Cisco 7960 SIP voip 1und1 konfiguration nat port forward

2011-03-07 by Stefan Bauer, tagged as cisco
Ich betreibe mein Cisco 7960 Telefon mit den voip-Zugangsdaten von 1und1, hinter einem 1und1 DSL-Anschluss. Da im Internet eine unfassbar große Anzahl von falschen Anleitungen bestehen, hier mein Versuch, das Thema etwas zu durchleuchten:

Im Telefon werden lediglich unter dem Punkt Settings->Sip-Configuration->Line1

Name: 4986219887851
AuthenticationName: 4986219887851
AuthenticationPassword: geheim
ProxyAddress: sip.1und1.de
ProxyPort: 5060
hinterlegt.

Dem Telefon sollte eine feste IP-Adresse spendiert werden. Der Default-Gateway sowie ein passender DNS-Server sind für Telefonate erforderlich.

Netzwerkanmerkungen:

Lediglich Port 5060 (SIP) sollte vom eigenen Router auf die IP-Adresse des Telefones weitergeleitet werden, da sonst keine Möglichkeit besteht, dass das Telefon von eingehenden Anrufen etwas mitbekommt.

Für ausgehende Telefonate sollte die Firewall dem Telefon erlauben, nach aussen hin, Port 5060 (zum Proxy von 1und1) sowie einige weitere zufällige Ports für die eigentliche Verbindung zu öffnen. Häufig ist dies das Standardverhalten.

Cisco 7960 SIP Telefon - CLIR - Rufnummerunterdrückung

2011-03-06 by Stefan Bauer, tagged as cisco
Hab mich gerade mit meinem Cisco IP Phone 7960 mit SIP-Firmware gespielt. Die Rufnummernunterdrückung heißt bei Cisco im Telefon Block Caller ID. Ist dieses aktiviert, wird die eigene Nummer nicht gesendet.

Nachtrag - in der Oberfläche von 1und1 lässt sich ebenso die Rufnummerunterdrückung - CLIR deaktivieren. Ist fast schöner als im Telefon.

reset pix 501 to factory defaults

2011-01-12 by Stefan Bauer, tagged as cisco
connect to the pix via rs232 (serial connection)
enter privileged mode
goto configure terminal
state configure factory-default
write settings to memory with wr mem

Cisco IOS SNMPv3 Konfiguration

2010-09-20 by Stefan Bauer, tagged as cisco
Heute einen Cisco Router für SNMPv3 konfiguriert. Wichtigster Grund für SNMPv3 ist die Verschlüsselung der SNMP-Informationen sowie eine vorherige Anmeldung am Gerät, damit nicht jeder, der die Community kennt, Werte abfragen kann.
Hier die relevanten Zeilen für die Nachwelt:

snmp-server group secure v3 priv

snmp-server user snmpusr secure v3 auth md5 cisco123 priv des56 cisco123

Legt uns also einen Benutzer snmpusr in der zuvor erstellten Gruppe secure an, und verwendet für die Authentifizierung mit HMAC-MD5 das Kennwort cisco123 sowie für die Verschlüsselung der Übertragung DES mit dem Kennwort cisco123.

Auf der Gegenstelle kann dann z.B. mit snmpwalk die Auslastung des Gerätes abgefragt werden:

x2go:/# snmpwalk -v3 -a MD5 -A cisco123 -l authPriv -u snmpusr -x DES -X \
 cisco123 192.168.0.1 .1.3.6.1.4.1.9.9.109.1.1.1.1.5.1
SNMPv2-SMI::enterprises.9.9.109.1.1.1.1.5.1 = Gauge32: 8

Macht eine Auslastung der CPU von 8%.

Connection tracking mit Cisco IOS

2010-09-15 by Stefan Bauer, tagged as cisco
Heute stand ich vor dem Problem, eine Regel für meinen Cisco 836 Router zu definieren, welche jeglichen Verkehr aus dem Internet blockt, es sei denn, er ist von innen assoziiert worden. In iptables Terminologie wären das related bzw. established Pakete. IOS besitzt auch eine Tabelle für Connection tracking, die muss nur explizit angewiesen werden, sich zu füllen.

Wir gehen davon aus, unser DSL-Interface ist Dialer1:

Wir weisen mit folgenden zwei Zeilen IOS an, für tcp und udp-Verbindungen sich die Verbindung zu "merken".

ip inspect name CONNTRACK tcp
ip inspect name CONNTRACK udp

Nun definieren wir, für welches Interface das greifen soll:

en
conf t
Interface Dialer1
ip inspect CONNTRACK out

Nun werden alle Pakete, welche von innen über das Interface Dialer1 nach draussen gehen (out) registriert. Die Antwortpakete sind nun automatisch erlaubt. Ich betreib folgende ACL's für das Dialer1 interface:

access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit icmp any any traceroute
access-list 111 deny ip any any

Danke an Peter Allgeyer für die Infos zu IOS.