Fortinet – ein bisschen Shell für alle

Auch Fortinet kocht nur mit Wasser und man kann einen eingeschränkten Blick hinter die Kulissen werfen:


FG100A############ # fnsysctl ls -al
drwxr-xr-x 14 0 0 Sun Oct 4 21:42:01 2015 320 .
drwxr-xr-x 14 0 0 Sun Oct 4 21:42:01 2015 320 ..
drwxr-xr-x 2 0 0 Sun Oct 4 21:41:44 2015 2740 bin
drwxr-xr-x 8 0 0 Sun Oct 4 21:41:56 2015 1024 data
drwxr-xr-x 2 0 0 Wed Sep 4 10:38:16 2013 40 data2
drwxr-xr-x 5 0 0 Sun Oct 4 21:42:21 2015 16920 dev
lrwxrwxrwx 1 0 0 Sun Oct 4 21:41:31 2015 8 etc -> data/etc
lrwxrwxrwx 1 0 0 Sun Oct 4 21:41:31 2015 1 fortidev -> /
drwx------ 2 0 0 Sun Oct 4 21:42:01 2015 40 ipc_quar
drwx------ 2 0 0 Sun Oct 4 21:42:01 2015 40 ipc_quar_backup
drwxr-xr-x 2 0 0 Sun Oct 4 21:41:32 2015 380 lib
drwxr-xr-x 38 0 0 Sun Oct 4 21:41:44 2015 2280 migadmin
dr-xr-xr-x 74 0 0 Sun Oct 4 21:41:27 2015 0 proc
drwxr-xr-x 2 0 0 Sun Oct 4 21:41:44 2015 60 sbin
drwxrwxrwt 9 0 0 Wed Oct 28 06:32:41 2015 2260 tmp
drwxr-xr-x 9 0 0 Sun Oct 4 21:42:01 2015 180 var

Alcatel AOS7 debuggen von high CPU

Generell: hier geht es um debuggen in der Superuser Shell, es kann etwas kaputt gehen, ich übernehme keine Verantwortung!

Sollte man auf einem AOS7/8 Switch mal hohe CPU Last haben kann man über folgende Befehle einige Debug Daten für das TAC ziehen

su
- top –n 1 (mehrfach)
- Hat man die TOP drei der CPU fresser nimmt man "bt" und sammelt Daten. Vorsicht walten lassen, mindestens 5 mal pro Task, jeweils 3-5 Sekunden warten

debug $(pidof ) "thread apply all bt full"
z.B.: debug $(pidof bcmd) "thread apply all bt full"

Daten aus dem Pakettreiber ziehen
- “cat /proc/pktdrv”. folgendes zieht 6 Sekunden lang Daten, daraus lassen sich dann durchs TAC Durchsatz-Raten bestimmen.

cnt=1;while [ $cnt -le 6 ]; do echo "Iteration:$cnt"; cat /proc/pktdrv; cnt=`expr $cnt + 1`; sleep 1; done

Auf der "normalen" CLI:
- show health 
- show health all cpu
- debug qos internal "chassis  slot  list 1 verbose"
z.B.: debug qos internal "chassis 0 slot 1 list 1 verbose"  bei einem Standalone Chassis (wobei mei mir slot 2 zumindest in einem 6900 mit Einschubmodul NICHT funktionierte)

Das sind dann ein paar Basiswerte, die dem TAC für weitere Analysen als Grundlage dienen können.

Nochmal: Alles auf eigene Gefahr.

Verbinden von Alcatel und HP 6125G/XG Bladeswitch mit LACP

Die Welt besteht ja nicht nur aus Alcatel, sondern auch aus anderen Herstellern.
So gibt es zum Beispiel auch Bladeswitche in HP Bladecentern, mit denen man uU eine Verbindung eingehen muss bzw will.

Hier beschreibe ich die notwendigen Befehle um ein LACP zwischen einem Alcatel Omniswitch 6450 und einem HP 6125G/XG im IRF Modus zu erstellen.

Auf Alcatel-Seite alles wie gehabt:

lacp linkagg 1 size 2 actor admin key 1 name "To HP Blade" admin state enable
lacp agg 1/25 actor admin key 1
lacp agg 2/25 actor admin key 1
vlan 3000-304 802.1q 1

Auf dem HP Switch sucht man sich die passenden Ports raus (hier TenGig 1/1/1 und 2/1/1) und befreit sie von allen alten Lasten:

system-view
interface ten 1/1/1
default
quit
interface ten 2/1/1
default

Danach legen wir das Aggregat an (heißt hier bridge-aggregation) und machen es zum LACP.

interface bridge-aggregation 10
link-aggregation mode dynamic
quit

Warum es einmal bridge aggregation heiß und dann mit link-aggragation weiterkonfiguriert wird.. HP Logik. Früher hieß das ganze trnk (Für Trunk) es wird also besser.

Danach bringen wir die physischen Interface in das Aggregat;

interface Tengig 1/1/1
port link-aggregation group 10
quit
interface tengig 2/1/1
port link-aggregation group 10
quit

Erst jetzt konfigurieren wir auf dem bridge-Aggregation die VLANs etc.

interface bridge-aggre 10
description "To ALU"
 port link-type trunk
 port trunk permit vlan 1 3000 to 3004

Hält man sich nicht an die Reihenfolge bzw. haben die Interfaces noch Konfiguration kommt es uU zu Fehlern beim konfigurieren:

 port trunk permit vlan 3004    
 Please wait... Done.
 Error: Failed to configure on interface Ten-GigabitEthernet1/1/1!
 Error: Failed to configure on interface Ten-GigabitEthernet2/1/1!

IPv6 – Linuxserver hinter der Fritzbox betreiben

Als (verspäteter) Nachzügler für http://janscholten.de/blog/2012/08/ipv6-daheim-mit-einen-sixxs-tunnel-und-einer-fritzbox/

Wie betreibe ich den einen Server mit IPv6 hinter der Fritzbox und was muss ich einstellen, damit der Server erreichbar ist?

Wie haben im ursprünglichen Artikel an der Fritzbox einen SixXS Tunnel erstellt und dort ein entsprechendes IPv6 Prefix bekommen.

Für den Linuxserver habe ich eine (mehrere?) feste IPv6 Adressen eingetragen, so dass hier per DHCP entsprechende Adressen verteilt werden.
setdhcp
dhcp-fb

Am Linuxserver habe ich per

# This is an autoconfigured IPv6 interface
iface eth0 inet6 auto

nichts besonderes eingetragen.

sehe aber mittels ifconfig die entsprechenden (benutzten) Adressen:


root@seth:~# ifconfig
eth0      Link encap:Ethernet  Hardware Adresse 00:08:54:55:e7:de  
          inet Adresse:192.168.2.2  Bcast:192.168.2.255  Maske:255.255.255.0
          inet6-Adresse: 2001:4dd0:ff00:8e78:6438:..:3eef/64 Gültigkeitsbereich:Global
[..]
          inet6-Adresse: fe80::208:54ff:fe55:e7de/64 Gültigkeitsbereich:Verbindung
          inet6-Adresse: 2001:4dd0:ff00:8e78:8413:..:67d0/64 Gültigkeitsbereich:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1

Damit sollte der PC per (fester) IPv6 ins Netz kommen.
Für die Weiterleitung bemüht man in der Fritzbox
Internet -> Freigaben -> IPv6 und legt einen neuen Host an.
Freigabe
Ich rate dringend davon ab den Rechner komplett ins Netz zu hängen, sondern würde nur ping6, 80 und 443 freigeben.

Testen kann man das z.B. via ping auf der Seite http://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-ping.php

Den Zugriff mit einem Browser via https://[die eigene IPv6-Adresse] (Klammern mitangeben).

Hat man Zugriff auf einen DNS Server kann man danach natürlich einen AAAA Eintrag machen und dem eigenen Server einen Domainnamen geben.

Alcatel Dynamic Auto fabric Konfiguration entfernen

In vielen Fällen ist die auto-fabric Funktionalität, welche in den 6900 eingebaut ist nicht gewollt. Trotzdem hat man auf einmal einen Berg von Konfiguration, den man nicht haben will, es ist MVRP aktiviert, daher auch Flat Spanning Tree (sonst geht MVRP nicht) etc.

Will man alle dies wieder Rückgängig machen sollten folgende Befehle helfen:
auto-fabric admin-state disable remove-global-config
mvrp disable
spb isis admin-state disable
no spb bvlan 4000-4015
spantree mode per-vlan

Siemens Gigaset 3000 classic System Pin Reset

Ich bin letztens in den genuss gekommen ein kanpp 15 Jahre altes Siemens Gigaset Classic zurücksetzen zu müßen.

Findet man die Anleitung für den Werksreset recht einfach ist es nicht so leicht herauszufinden wie man den System Pin wieder auf default (0000) setzt:
[Die Taste mit dem grünen Pfeil] 1,#,OK,*,R,#,R,OK,0,OK
wobei OK mit der Wahlwiederholung [-> ->] gewählt wird

Der Reset des Telefons auf default:
[Die Taste mit dem grünen Pfeil] 1,8,OK,0,0,0,0,OK,0,OK
Kennt man seinen Pin muss man ihn nicht zurücksetzen sondern setzt ihn statt der vier „0“