Kategorie: Erfahrungen

Cisco ASA für den Zugriff mit SSH konfigurieren

Will man die ASA per SSH administrieren, muss man erst an ein paar Schräubchen drehen:
Wie auf einem Router ein Key Pärchen erzeugen und braucht natürlich auch einen User und SSH muß diesen User zum authentifizieren benutzen:

Auf der CLI einen user anlegen:

username admin password MeinTollesPasswort privilege 15

Authentifizierung local erfolgen lassen

aaa authentication http console LOCAL
aaa authentication ssh console LOCAL

RSA Schlüssel erzeugen:

crypto key generate rsa

management Access freigeben Hier erlaube ssh von 192.168.1.0/24 auf dem Management Interface:

ssh 192.168.1.0 255.255.255.0 management

ASDM
Im ASDM ist es etwas versteckter und umständlicher.

User anlegen:
Configuration > Device Management > Users/AAA > User Accounts --> Add
Usernamen, Passwort, Privilege Level eintragen

Authentifizierung mit lokalen Usern für ASDM und SSH
Configuration > Device Management > Users/AAA > AAA Access > Authentication
–> HTTP/ASDM und SSH ankreuzen

RSA Schlüssel anlegen:
Configuration > Device Management > Certificate Management > Identity Certificates
–> Add –> Add New Identity Certificate und dann neben „Key Pair“ auf New klicken.

ManagementAccess freigeben:
Configuration > Device Management > Management Access > ASDM/HTTPS/Telnet/SSH
Hier mit Add für SSH und HTTPS/ASDM die entsprechenden Einträge machen

Dann sollte es auch mit dem adminsitrieren klappen.

Cisco Die richtige Zeit Einstellung – Uhr und Sommerzeit

Zeitangaben im Logfile sind wichtig, wer will schon anhand der uptime Zurückrechnen, wann es zum Fehler gekommen ist?

Folgendes hilft:

service timestamps debug datetime localtime
service timestamps log datetime localtime
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00

Die Zeit stellt man dann mit
clock set 15:230:25 14 Dec 2009

Cisco SSH hostname geändert – Putty gibt Fehlermeldung „Incorrect CRC received on Packet“

Bei einem Cisco 7200 sollte ich den hostname und den domain-name ändern.

Danach war kein einloggen per SSH mehr möglich.

Nov 27 12:22:08: %SSH-3-PRIVATEKEY: Unable to retrieve RSA private key for oldhostname.olddomain-name.de
-Process= „SSH Process“, ipl= 0, pid= 105
-Traceback= 61E7EA5C 61E7B180 61E7C9A4 607D752C 607D7510

Hmm da scheint er den Key des ehemaligen Hosts nehmen zu wollen.. seltsam.

crypto key zerorize rsa
hat nichts gebracht nach erzeugen eines neuen Schlüssels kommt der gleiche Fehler.

Lösung ist hier dem ssh key ein Label zu geben und dem ssh daemon zu sagen er möge doch diesen Schlüssel mit dem bestimmten Label nutzen:
crypto key zeroize rsa
crypto key generate rsa general keys label [hostname] modulus 1024
ip ssh rsa keypair-name [hostname]

Schon klappt es auch wieder mit den Nachbarn.

Kress AFB 144 Akkuschrauber bestellt

Lange habe ich nach dem richtigen Akkuschrauber gesucht, war hin- und hergerissen zwischen Makita, Bosch blau und Metabo. Überall findet man unterschiedliche Fürsprecher.
Nachdem ich schon fast eine Makita BDF343 HREX bestellt hatte war ich dann doch wieder unschlüssig, weil nur 10mm Bohrfutter. Hab dann mit einem Bosch GSR 14,4-V LI geliebäugelt, also nem blauen aus der Professional Serie, statt aus der Heimwerkerserie (grün)

Bin dann in einem Forum über Kress gestolpert und 10 Jahre Garantie + kostenlose jährliche Wartung (mit Abholung) haben mich dann doch in Sicherheit gewogen. Das die Geräte made in Gernamny/Switzerland sind macht auch keinen schlechten Eindruck. Habe mir den also kurzentschlossen bestellt.
Im Aktionsangebot ist leider nur ein kleiner 1,5Ah Akku (was aber bei 15 Minuten Ladezeit verschmerzbar sein sollte), dafür im Set mit Schnellspannfutter und Winkelaufsatz (ich kann dann um die Ecke bohren *g*) und nicht zuuuu teuer.

Bin gespannt, der sollte in ein paar Tagen da sein. dann schreibe ich mal meine Hands-On Erfahrungen,

Cisco SSH aktivieren

Ganz einfach: man braucht ein k9 image (Security).
Andere Vorraussetzuing hostname und domain name
#conf t
(config)#hostname Core1
(config)#ip domain-name local.local
(config)#crypto key generate rsa
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Dann aktivieren wir noch die sicherere SSH Version 2
ip ssh version 2

Cisco Etherchannel konfigurieren (IOS 4506-E)

Zur redundanten Anbindung und zur Erhöhung der Ausfallsicherheit verbindet man Gerät gern mit mehr als einem Kabel sowohl in Ringstrukturen als auch zu einem anderen Gerät. Spanning Tree verhindert dabei Loops. Verbindet man z.B. 2 Core Switche mit mehreren Kabeln kann man auch einer höhere Bandbreite nutzen.

Switch 1:
# conf t
(config)#int port-channel 1
(config-if)#
(config-if) description "Channel zu Core-2"
(config-if) switchport
(config-if) switchport mode trunk
(config-if)exit
(config)#int range te1/1-2
(config-if-range)# description "10gig to Core2
(config-if-range) switchport mode trunk
(config-if-range) channel-group 1 mode desirable
(config-if-range)end

Switch 2 ist analog, also:
# conf t
(config)#int port-channel 1
(config-if)#
(config-if) description "Channel zu Core-2"
(config-if) switchport
(config-if) switchport mode trunk
(config-if)exit
(config)#int range te1/1-2
(config-if-range)# description "10gig to Core2
(config-if-range) switchport mode trunk
(config-if-range) channel-group 1 mode desirable
(config-if-range)end

Verifizieren:
#sh etherchannel summary
Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator

M - not in use, minimum links not met
u - unsuitable for bundling
w - waiting to be aggregated
d - default port
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) PAgP Te1/1(P) Te1/2(P)

Defaultmäßig wird ein anhand von Destination Mac bzw. Destination IP im Load Balancing Algorithmus festgelegt welcher Link im Etherchannel benutzt wird. Das kann bei genutzt das kann aber bei vielen Verbindungen zwischen den selben Systemen zu einer einseitigen Nutzung des Channels kommen. mittels
port-channel load-balance src-dst-port
kann man z.B. Src und Destination Port als Kriterium wählen.