Alcatel AOS PoE aktivieren

Will man auf PoE fähigen Alcatel-Switchen Power over Ethernet aktivieren, geht das ganz einfach:

lanpower 1 start

Ansehen kann man sich das ganz so:


show lanpower 1
Port Maximum(mW) Actual Used(mW) Status Priority On/Off
----+-----------+---------------+-----------+---------+------
1 15400 0 Powered Off Low ON
2 15400 0 Powered Off Low ON
3 15400 0 Powered Off Low ON
4 15400 0 Powered Off Low ON
5 15400 3000 Powered On Low ON
6 15400 0 Powered Off Low ON
7 15400 0 Powered Off Low ON
8 15400 0 Powered Off Low ON
9 15400 0 Powered Off Low ON
10 15400 0 Powered Off Low ON
11 15400 0 Powered Off Low ON
..

Alcatel OAW – RAPs eine neue Firmware geben

RAPs wie die Remote Access Points von Alcatel/Aruba heißen sind ne feine Sache.
Leider kommt nicht jeder RAP mit einer aktuellen Firmware, was bedeutet, dass solche features wie PPPoE oder UMTS Unterstützung uU nicht in der Firmware zum Zero Conf zur Verfügung stehen.

Auf einen aktuellen Firmwarestand kommen sie nach dem provisionieren – Sind sie mit dem Controller verbunden, bekommen sie das AOS vom Controller.L
eider wird nach einem reset wieder ein altes AOS geladen.

Um auch nach einem Reset das aktuelle AOS benutzen zu können muss man die backup-partition der RAPs flashen, das geht mittels des Befehls
(OAW-4504) #apflash ip-addr 192.168.234.20 backup-partition

Mit show ap image version sieht man die vorhandene Version und auch ob das upgrade noch andauert:

(OAW-4504) #show ap image version
AP Image Versions On Controller
-------------------------------
AOS-W version 5.0.3.0 for OAW-AP6x_7x (p4build@cyprus) (gcc version 3.4.3) #26207 Tue Nov 30 09:13:58 PST 2010
Access Points Image Version
---------------------------
[snip]
192.168.234.20 AOS-W version 5.0.3.0 for OAW-AP6x_7x (p4build@cyprus) (gcc version 3.4.3) #26207 Tue Nov 30 09:13:58 PST 2010 AOS-W version 5.0.3.0 for OAW-AP6x_7x (p4build@cyprus) (gcc version 3.4.3) #26207 Tue Nov 30 09:13:58 PST 2010 3.3.2.11-rn-3.0.1(p4build@trinidad.arubanetworks.com)#21263 Wed May 6 22:30:18 PDT 2009 Yes 1 0 0 0 In Progress (3 secs)

Nach dem Upgrade steht statt In Progress dann Completed und der RAP bootet die neue Version.

192.168.234.20 AOS-W version 5.0.3.0 for OAW-AP6x_7x (p4build@cyprus) (gcc version 3.4.3) #26207 Tue Nov 30 09:13:58 PST 2010 AOS-W version 5.0.3.0 for OAW-AP6x_7x (p4build@cyprus) (gcc version 3.4.3) #26207 Tue Nov 30 09:13:58 PST 2010 3.3.2.11-rn-3.0.1(p4build@trinidad.arubanetworks.com)#21263 Wed May 6 22:30:18 PDT 2009 Yes 1 0 0 0 Completed (65 secs)

Diese wird auch in der backup-partition angezeigt:
192.168.234.10 AOS-W version 5.0.3.0 for OAW-AP6x_7x (p4build@cyprus) (gcc version 3.4.3) #26207 Tue Nov 30 09:13:58 PST 2010 AOS-W version 5.0.3.0 for OAW-AP6x_7x (p4build@cyprus) (gcc version 3.4.3) #26207 Tue Nov 30 09:13:58 PST 2010 AOS-W version 5.0.3.0 for OAW-AP6x_7x (p4build@cyprus) (gcc version 3.4.3) #26207 Tue Nov 30 09:13:58 PST 2010 Yes 3 0 0 0 Done

Ein Fragezeichen auf der Cisco CLI eingeben

Manchmal muss man auf der Cisco CLI ein Fragezeichen eingeben, z.B. wenn man DHCP Options angeben will wo auf eine Webseite verwiesen wird und dort Parameter übergeben werden:
x.y.z/website.php?option=username

Auf der CLI bringt Cisco gleich die Kontext Hilfe. Will man das verhindern weil man halt wirklich ein „?“ braucht muss man vor dem Fragezeichen ein mal STRG+V benutzen.

Cisco Router, NAT und IPSec

Vielleicht kommt man mal in die Verlegenheit, das man nicht alle Daten in einen VPN Tunnel schicken will, sondern einen „local internet breakout“ haben möchte. Man schmeisst also nur ein paar Daten in den Tunnel, der Rest wird dynamisch genattet..

Nehmen wir an das lokale Netz ist 10.10.1.0/24 die Netze in der zentrale, die per Tunnel erreicht werden sind 10.10.20.0/24 und 172.16.2.0/24.

Man erstellt eine ACL die den zu verschlüsselnden Traffic denied

access-list 110 deny ip 10.10.1.0 0.0.0.255 10.10.20.0 0.0.0.255
access-list 110 deny ip 10.10.1.0 0.0.0.255 172.16.2.0 0.0.0.255
access-list 110 permit ip 10.10.1.0 0.0.0.255 any

Jetzt bindet man das an eine Routemap

route-map permit_NAT
permit 10 match ip address 110

Danach benutzt man die Routemap im nat statement:

ip nat inside source route-map permit_NAT interface fast0/0 overload

Und definioert nachher noch nat Inside und outside


int fa0/0
description outside
nat outside
[..]
int fa0/1
description inside
nat inside
[..]

Natürlich muss man auch sicherstellen, dass die routen für den verschlüsselten Traffic auch auf die Tunnel Interface zeigen (dynamisches Routing Protokolle wie eigrp/ospf oder statische Routen)

mit show ip nat translation kann man schauen ob es translations fürs Internet gibt, ansonsten mal testen ob der zugriff in die Zentrale noch geht.

Cisco ASA für den Zugriff mit SSH konfigurieren

Will man die ASA per SSH administrieren, muss man erst an ein paar Schräubchen drehen:
Wie auf einem Router ein Key Pärchen erzeugen und braucht natürlich auch einen User und SSH muß diesen User zum authentifizieren benutzen:

Auf der CLI einen user anlegen:

username admin password MeinTollesPasswort privilege 15

Authentifizierung local erfolgen lassen

aaa authentication http console LOCAL
aaa authentication ssh console LOCAL

RSA Schlüssel erzeugen:

crypto key generate rsa

management Access freigeben Hier erlaube ssh von 192.168.1.0/24 auf dem Management Interface:

ssh 192.168.1.0 255.255.255.0 management

ASDM
Im ASDM ist es etwas versteckter und umständlicher.

User anlegen:
Configuration > Device Management > Users/AAA > User Accounts --> Add
Usernamen, Passwort, Privilege Level eintragen

Authentifizierung mit lokalen Usern für ASDM und SSH
Configuration > Device Management > Users/AAA > AAA Access > Authentication
–> HTTP/ASDM und SSH ankreuzen

RSA Schlüssel anlegen:
Configuration > Device Management > Certificate Management > Identity Certificates
–> Add –> Add New Identity Certificate und dann neben „Key Pair“ auf New klicken.

ManagementAccess freigeben:
Configuration > Device Management > Management Access > ASDM/HTTPS/Telnet/SSH
Hier mit Add für SSH und HTTPS/ASDM die entsprechenden Einträge machen

Dann sollte es auch mit dem adminsitrieren klappen.