Cisco¶
Allgemeines¶
com2usb linux driver pl2303.ko
running config mit passwörtern anzeigen
more system:running-config
man kann nur von grösseren security level auf kleinere routen
mit enable (oder en) kommt man in den enable modus
mit conf t in den configurations modus
befehle kann man mit tab vervollständigen
mögliche optionen erfährt man mit ?
mit “no” vor einem befehl löscht man eine config zeile
config speichern mit “copy running-config startup-config”
system auslastung anzeigen
show cpu usage
show processes
show mem
Grundconfiguration¶
hostname lalala
domain-name schwubs.tld
Zeitzone und NTP einstellen
clock timezone CET 1
ntp server 192.168.100.1
sh clock
user anlegen
username <user> password <password> privilege 15
enable passwort setzen
aaa authentication enable console LOCAL
SSH und Consolen User lokal authentifiziert
aaa authentication ssh console LOCAL
sh run interface
interface resetten
interface Management0/0
no nameif
no security-level 100
no ip address
no management-only
interface config anschauen
sh run interface Management0/0
interface Management0/0
no nameif
no security-level
no ip address
interface Ethernet0/0
description WAN interface
ip address 192.168.103.91 255.255.255.0 standby 192.168.103.92
security-level 0
nameif external
no shut
SSH Config
ssh 192.168.103.0 255.255.255.0 external
crypto key generate rsa general-keys modulus 2048
write mem
Routing¶
Default Gateway setzen (device ip mask gateway)
route external 0.0.0.0 0.0.0.0 192.168.103.254
Routing Tabelle anzeigen
sh route
source validation anschalten
ip verify reverse-path interface <iface>
VLAN¶
trunk port = port der in mehreren vlans hängt
interface Management0/0.1
description LAN Failover Interface
vlan 8
interface Management0/0.2
description STATE Failover Interface
vlan 9
wenn man kein vlan angibt, dann sind bei einem trunk port per default alle erlaubt
VLAN config anschauen
sh vlan
ARP¶
ARP Cache anzeigen lassen
sh arp
NAT¶
nat-control (alle connections müssen eine nat rule haben)
alles was aus external raus geht nimm per default die adresse vom external device
global (external) 1 interface
alles was aus interface patronas raus kommt natte mit id 1 also auf das externe interface
nat (patronas) 1 192.168.109.176 255.255.255.240
Alles was nat id 0 hat wird nicht genattet
access-list NO_NAT deny ip any any
nat (patronas) 0 access-list NO_NAT
Statisches NAT (dev intern, dev extern) (192.168.109.215 wird genattet auf 192.168.103.93)
static (axxion,external) 192.168.103.93 192.168.109.215 netmask 255.255.255.255
Logging und Debugging¶
logging enable
logging console ?
logging console 6
wenn man via ssh connected is nimmt man monitor und nicht console
logging monitor 7
term monitor
Packet Filtering / Access lists¶
Access list anlegen
access-list EXTERNAL_IN permit icmp any any source-quench
access-list EXTERNAL_IN permit icmp any any unreachable
access-list EXTERNAL_IN permit tcp any host 192.168.109.215 eq 22
Access liste an ein interface binden
access-group EXTERNAL_IN in interface external
bei genatteten verbindung brauch man nur die nat ip erlauben das weiterleiten wird dann automatisch erlaubt
Packet Capturing¶
Alles was durch die Access-List gelassen wird, wird aufgezeichnet
access-list CAP permit ip any any
capture CAP interface patronas access-list CAP
Aufgezeichnete Pakete anzeigen
sh capture CAP
Aufzeichnen stoppen
no capture CAP
Allen Traffic auf einem Interface capturen
access-list CAP interface external
Failover¶
Die Failover IP für LAN muss in einem anderen Netz sein als das für State
failover
failover lan unit primary
failover lan interface lan-fo Management0/0.1
failover key Fmjhd3
failover replication http
failover link state-fo Management0/0.2
failover interface ip lan-fo 192.168.109.193 255.255.255.252 standby 192.168.109.194
failover interface ip state-fo 192.168.109.197 255.255.255.252 standby 192.168.109.198
sh run failover (config anzeigen)
sh failover (status anzeigen)
monitoring bei logischem device anschalten
monitor interface patronas
Die Slave Firewall von der Master aus rebooten
failover reload-standby
Firewall Desaster Recovery¶
Es muss sichergestellt sein, dass Ethernet 0/2 auf beiden ASA das aktive Interface ist
interface Redundant1
redundant-interface Redundant 1 active-member Ethernet 0/2
IPSec / VPN¶
crypto isakmp enable <interface>
crypto isakmp identity address
Phase 1 (control connection definieren)
sh crypto isakmp sa detail
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash md5
group 5
lifetime 3600
Phase 2 (data connection definieren)
sh crypto ipsec sa peer <$VPN_PEER>
Transform Set definieren (Name für Verschlüsselung / Hashing Optionen für die wirklichen Datentunnel)
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
Optional maximale Timeouts für das Rekeying definieren
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
Name für VPN Peer anlegen
name 213.23.72.194 VPN_PEER_TEST
Welcher Traffic getunnelt werden soll, wird über eine Accesslist (CMAP_$VPN_MAP) definiert
Die Src muss immer dem Netz der Firewall entsprechen
access-list CMAP_TEST_MATCH extended permit ip 192.168.109.176 255.255.255.240 192.168.103.0 255.255.255.0
access-list CMAP_TEST_MATCH extended permit ip 192.168.109.176 255.255.255.240 192.168.100.0 255.255.255.0
access-list CMAP_TEST_MATCH extended permit ip 192.168.109.208 255.255.255.240 192.168.103.0 255.255.255.0
access-list CMAP_TEST_MATCH extended permit ip 192.168.109.208 255.255.255.240 192.168.100.0 255.255.255.0
access-list CMAP_TEST_MATCH extended permit ip host 123.123.122.66 host 192.168.100.3
access-list CMAP_TEST_MATCH extended permit ip host 123.123.122.66 host 192.168.100.1
access-list CMAP_TEST_MATCH extended permit ip 192.168.109.224 255.255.255.240 192.168.100.0 255.255.255.0
access-list CMAP_TEST_MATCH extended permit ip 192.168.109.224 255.255.255.240 192.168.103.0 255.255.255.0
* WICHTIG! Genau die selben Regeln müssen auch in die NO_NAT Access-List eingetragen werden
* Eine Cryptomap ist eine Sammlung von Phase2 gebunden an ein Interface
* Identifiziert wird über die Zahl z.B. 20
crypto map CMAP_STATIC 20 match address CMAP_TEST_MATCH
crypto map CMAP_STATIC 20 set peer VPN_PEER_TEST
crypto map CMAP_STATIC 20 set transform-set ESP-AES-256-MD5
* Optional Perfect Forwarding Secrecy (PFS) einschalten
* Erzwingt das ein neuer Schlüssel beim Rekeying generiert wird
crypto map CMAP_STATIC 20 set pfs
* Macht immens Probleme zwischen unterschiedlichen Peers
PreShared Key vergeben
Hier muss immer die IP verwendet werden
l2l heisst LAN-to-LAN
tunnel-group 123.123.11.22 type ipsec-l2l
tunnel-group 123.123.11.22 general-attributes
tunnel-group 123.123.11.22 ipsec-attributes
pre-shared-key <password>
Beispiel für einen neuen Tunnel
name 123.124.222.5 VPN_PEER_BLA
access-list CMAP_BLA_MATCH extended permit ip host 192.168.109.213 host 123.222.147.10
access-list NO_NAT extended permit ip host 192.168.109.213 host 123.222.147.10
crypto map CMAP_STATIC 40 match address CMAP_BLA_MATCH
crypto map CMAP_STATIC 40 set pfs
crypto map CMAP_STATIC 40 set peer VPN_PEER_BLA
crypto map CMAP_STATIC 40 set transform-set ESP-3DES-MD5
crypto map CMAP_STATIC 40 set security-association lifetime seconds 28800
crypto map CMAP_STATIC 40 set security-association lifetime kilobytes 4608000
tunnel-group 193.228.147.5 type ipsec-l2l
tunnel-group 193.228.147.5 general-attributes
default-group-policy VPN
tunnel-group 193.228.147.5 ipsec-attributes
pre-shared-key <password>
PPPOE configuration
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group QSC
ip address pppoe setroute
vpdn group ISP request dialout pppoe
vpdn group ISP localname [your username here]
vpdn group ISP ppp authentication chap
vpdn username [your username here] password [your password here ]
Switch Config¶
ip domain-name patronas.int
user spass
aaa new-model
username <user> password 0 <pass>
ssh server für 15 terminals freischalten
line vty 0 15
transport input ssh
switch ports sind standardmaessig in vlan1
trunk port configurieren
switchport mode trunk
switchport trunk allowed vlan 8,9
einen port in ein vlan hängen
switchport access vlan 10
eine andere art vlan zu confen (im enable mode)
vlan database
vlan <nr> name <name>
int vlan <nr>
ip add x.x.x.x
default gateway einstellen
ip default-gateway 192.168.1.1
lacp config
switchport mode access
channel-protocol lacp
channel-group 1 mode active
Firmware update on a Cisco device¶
Setup a TFTP server in the same IP range as the Cisco device to backup the configs, IOS image and also for later to upload the new IOS image.
testrouter# copy startup-config tftp
Address or name of remote host []? 10.10.10.2
Destination filename [startup-config]?
!!
1278 bytes c opied in 0.100 secs
Backup Current IOS Image
testrouter# copy flash: tftp:
Source filename []? xxxxx-xx-xx.121-x.XB
Address or name of remote host []? 10.10.10.2
Destination filename [xxxxx-xx-xx.121-x.XB]?
Now, Load the new IOS image from the TFTP onto the flash
ciscorouter#copy tftp: flash:
Address or name of remote host []? 10.10.10.2
Source filename []? c3560-ipbasek9-mz.122-40.SE.bin
Destination filename [c3560-ipbasek9-mz.122-40.SE.bin]?
Accessing tftp://10.10.10.2/c3560-ipbasek9-mz.122-40.SE.bin
Loading c3560-ipbasek9-mz.122-40.SE.bin
How to repair a Cisco with erased flash¶
copy xmodem: flash:flash_filename
now from the “transfer” dropdown menu on the hyperterminal, select “send file” and choose “xmodem” in the subsequent dialog box and browse for the flash_filename (the downloaded IOS bn file) and send.
boot flash:flash_filename