SNMPv3 Konfig Beispiele

Für SNMPv3 brauchst man drei Elemente “Gruppe”, “User” und eine “View”. Die View ist quasi nochmals ein Filter, welche MIBs verfügbar gemacht werden. Oft reicht es dort  “iso” rein zu machen, was soviel heisst wie “alle MIB”, man kann ja via ACL einschränken, wer überhaupt verbinden darf. Nachfolgend ein paar Beispiele

Beispiel mit Verweis auf eine ACL

snmp-server group SNMPV3_GROUP v3 auth access SNMP_ACL
snmp-server user NEDI_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY  
snmp-server user CACTI_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY 
snmp-server user PRIME_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY
snmp-server user ISE_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY  
snmp-server view SNMPV3_VIEW iso included 

Die ACL ziehst du auf der Gruppe oder dem User an. Ums nicht unnötig zu verkomplizieren, würd ichs jeweils auf der Gruppe anziehen und nicht auf dem User. Theoretisch kann man sogar auf User und Group Level machen.

Beispiel ohne ACL mit nur einem User

snmp-server group NEDI_SNMPV3_GROUP v3 auth 
snmp-server user NEDI_SNMPV3_USER NEDI_SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY  
snmp-server view SNMPV3_VIEW iso included 

Sollte das Management kein SHA/AES256 unterstützen, kannst du die Verschlüsselung auch runterschrauben:

 

snmp-server group NEDI_SNMPV3_GROUP v3 auth 

snmp-server user NEDI_SNMPV3_USER NEDI_SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 128 SNMPV3_AES_KEY 

snmp-server view SNMPV3_VIEW iso included 

Der Key wäre in den Beispielen jeweils: SNMPv3_SHA_KEY

Under zur Verschlüsselung wird verwendet: SNMPV3_AES_KEY 

Beispiel anhand WCS:

4500x VSS IOS Upgrade

Aufgrund des Bugs CSCuj67614 bzw. CSCub63571 musste ich heute auf einem Cisco 4500x VSS Cluster ein Software Update machen. Beim Bug handelt es sich um folgendes Problem:

Die vom Kunden eingesetzte ist die letzte noch davon betroffene Version. 

cat4500e-universalk9.SPA.03.04.02.SG.151-2.SG2.bin

Ein Blick auf die Download Optionen zeigt, dass es innerhalb des 3.4er Train ein aktuelles Suggested Release gibt.

(mehr …)

TFTP beschleunigen

Zufällig heute rausgefunden, dass man TFTP Verbindungen erheblich beschleunigen kann, wenn man die Blocksize hochschraubt.

4500x(config)#ip tftp ?
  blocksize         Specify TFTP client blocksize
  boot-interface    Force interface to use for TFTP booting
  source-interface  Specify interface for source address in TFTP connections

4500x(config)#ip tftp bl
4500x(config)#ip tftp blocksize ?
  <512-8192>  blocksize value

4500x(config)#ip tftp blocksize 8192

Statt ca. 100kB/s kommt der Upload nun im Schnitt auf 1MB/s, somit etwa Faktor 10x schneller.

 

Ob das Command auf sämtlichen IOS Plattformen verfügbar ist, kann ich nicht beurteilen. Gesehen hab ich es zumindest auf IOS XE Plattformen (5760, 3850, 3650, 4500x..)

 

Cisco WS-C2960S Stackerweiterung im laufenden Betrieb

Musste kürzlich eine Stackerweiterung im laufenden Betrieb durchführen, funktioniert tadellos.

Empfehlen kann ich folgendes Vorgehen:

  1. Den neuen Switch auf gleichen IOS Stand bringen (Optional)
  2. Auf dem bestehenden Stack mit dem „switch provisioning“ Befehl, den Switch provisionieren.
  3. Redundantes Stackkabel trennen
  4. Den neuen Switch stromlos einschlaufen
  5. den neuen Switch einschalten

Hier der CLI Output nach dem Einschalten

%STACKMGR-5-SWITCH_READY: Switch 3 is READY
%STACKMGR-4-STACK_LINK_CHANGE: Stack Port 1 Switch 3 has changed to state UP
%STACKMGR-4-STACK_LINK_CHANGE: Stack Port 2 Switch 3 has changed to state UP
%STACKMGR-5-SWITCH_READY: Switch 3 is READY (C2960S-2)

 (mehr …)

MD5 Hash von Dateien überprüfen

Jeder kennt das, man ist in Eile und braucht ein File von Cisco.com. Leider fehlt genau für diesen Download dann der entsprechende Contract. 

Variante 1)
Man öffnet einen TAC Case und bekommt so in der Regel einen „special file access“ Token, mit dem man das gewünschte File für einen begrenzten Zeitrahmen downloaden kann. Meist mühsam und zeitaufwändig.

Variante 2)
Man kopiert den exakten Filename und gibt ihn 1:1 bei Google ein, in der Regel findet man das gewünschte File auf diversen 1-Click Hostern.

Bevor man jedoch so ein Graumarkt IOS in einen Router einspielt, sollte man sich die 5 Min Zeit nehmen den MD5 HASH zu verifizieren. Den orginal HASH findet man auf cisco.com im Download bereich.

(mehr …)

Probleme mit GLC-SX-MM und WS-C2960X-48 Switchen

Scheinbar gibt es massive Probleme mit 2960X  Switchen (IOS Release 15.0(2) EX3 ) und GLC-SX bzw. GLC-LH Modulen in Verbindung mit 4500/6500er Switchen, welche linecards mit GBIC nutzen.

Im Lab konnte ich feststellen, dass die Links nicht hochkommen. Selbst wenn des Interface mit „nonegoiate“ konfiguriert wird, leuchtet lediglich die LED, jedoch ist kein Traffic auf dem Interface sichtbar.

Hierzu wurde bereits folgende Bugs commited:

CSCuj74167 bzw. CSCuj70291

Der gesamte Case ist hier aufrufbar:

(mehr …)

IOS Konfig History – 1Min Tutorial!

Eine einfache Art Konfigurationen von IOS Geräten nach Änderungen zu sichern, bietet der „archive“ Befehl.

AP02(config-archive)#?
Archive configuration commands:
default Set a command to its defaults
exit Exit from archive configuration mode
log Logging commands
maximum maximum number of backup copies
no Negate a command or set its defaults
path path for backups
rollback Rollback parameters
time-period Period of time in minutes to automatically archive the running-config
write-memory Enable automatic backup generation during write memory

Möchte man zum Beispiel, dass nach jedem write-memory ein Backup der Konfiguration auf einen FTP geschrieben wird, könnte man dies folgender massen realisieren:

archive
path ftp://user:pass@192.168.0.1/$h/$h-
write-memory
 (mehr …)

Logging direkt auf dem Switch mit archive cmd

In kleineren Deployments, wo sich oft ein ACS nicht rentiert, jedoch trotzdem ein gewisser Wert auf Account gesetzt wird, lohn es sich die Built-in Features von IOS genauer anzuschauen!

Wenn gewünscht ist das Config changes auf den Switchen nachvollziehbar sind, kann dies wie folgt konfiguriert werden

archive
 log config
  logging enable
  notify syslog contenttype plaintext
  hidekeys Danach werden sämtliche Anpassungen geloggt und können im Syslog (Wenn Konfiguriert) oder auch lokal auf dem Switch im Detail angeschaut werden.
 (mehr …)