Mrežne tehnologije

Lokalno EAP preverjanje na Cisco WLC kontrolerju

Encrypted Traffic Analyses (Cisco ETA)

Kako narediti sliko iz obstoječega diska?

Postopek lahko izvedemo z vgrajenim CLI ukazom "dd".
Pri tem moramo seveda biti pazljivi, da nastvaimo pravi izvor in pravi cilj, drugače lahko izgubimo vse podatke na izvoru. Priporočam še narediti varnostno kopijo, predno se lotite takega postopka.

Ukaz, ki naredi sliko obstoječega diska:

dd if=/dev/sda bs=64K conv=noerror,sync status=progress | gzip -c > sda.image.gz

Ukaz, kokao sliko prenesti na nov disk:

gunzip -c sda.image.gz | dd of=/dev/sda bs=64K conv=noerror,sync status=progress

Kako narediti sliko iz obstoječega diska na nov disk?

Postopek lahko izvedemo z vgrajenim CLI ukazom "dd".
Pri tem moramo seveda biti pazljivi, da nastvaimo pravi izvor in pravi cilj, drugače lahko izgubimo vse podatke na izvoru. Priporočam še narediti varnostno kopijo, predno se lotite takega postopka.

Imamo stari disk, ki ga linux označi kot "sda" (/dev/sda), ki bo naš izvor in ciljni disk, ki ga linux označi kot sdg (/dev/sdg).
Ukaz bi se glasil takole,

dd if=/dev/sda of=/dev/sdg bs=64K conv=noerror,sync status=progress

kjer posamezni deli pomenijo naslednje:

if —> izvor
of —> cilj
bs —> velikost bloka
conv —> ne ustavi se ob napaki, piši naprej
status=progress —> izpisuje koliko podatkov je že prenesel


Drugače lahko za kloniranje diskov uporabite tudi namenske distribucije (Clonezilla) ali programe (PartImage ali Partclone)

Kako narediti password recovery na debian linux-u ali derivatih?

Postopek password recovery-ja je nasledji:

1. Ponovno zaženite računalnik. Po BIOS-u držite levo tipko SHIFT. S tem pridete do menu-ja kjer izberete možnost zagona OS-a v recovery načinu.

MQv6f

2. Izberemo možnost zagona v recovery načinu. Ko se zažene v recovery načinu, boste končali na izbirnem meniju, ki je podoben spodnji sliki.

RRKur



3. Izberite možnos "root", kjer boste lahko spremenili pozabljeno geslo uporabnika, ki ima admin pravice. Znašli se boste v konzoli, ki ima root pravice.

root@ubuntu:~#

4. Potrebno je dobiti polno dostop do lokalnega disk-a. To naredimo s tem ukazom.

root@ubuntu:~# mount -o rw,remount /

5. Zaženemo passwd za uporabnika, ki je pozabil geslo in ga zamenjamo. To naredimo tako:

root@ubuntu:~# passwd jdoe
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
root@ubuntu:~#

6. Ponovno zaženite računalnik in pustite, da se OS naloži. Uporabite uporabnika, kateremu ste spremenili geslo in preverite, če se lahko prijavite.

Iskanje elektronskih sporočil ne deluje več v Office paketu 2016 za MacOS. kako popraviti?

Iskanje v paketu Office 2016 za MacOS ne deluje več je potrebno slediti naslednjim navodilom.

sudo touch /Applications/Microsoft\ Outlook.app/Contents/Library/Spotlight/Microsoft\ Outlook\ Spotlight\ Importer.mdimporter
sudo /System/Library/Frameworks/CoreServices.framework/Frameworks/LaunchServices.framework/Versions/A/Support/lsregister -kill –r
sudo mdutil -a –E -i off
sudo rm -rf /.Spotlight-V100
sudo mdutil -i on /
sudo killall mds

Zanimiva in poučna predavanja na temo Cisco Software Defined Access

Opuščeni mrežni ukazi za Linux in njihove zamenjave

V tebili so podani opuščeni mrežni ukazi in njihove zamenjave.

Screen Shot 2017-09-14 at 14.07.29

Kako omogočit "beep" glas ob priključitvi macbook-a na električni polnilec?

V terminal se vpiše naslednji ukaz:

defaults write com.apple.PowerChime ChimeOnAllHardware -bool true; open /System/Library/CoreServices/PowerChime.app &

Če želimo onemogočiti vpišemo v terminal naslednji ukaz:

defaults write com.apple.PowerChime ChimeOnAllHardware -bool false; open /System/Library/CoreServices/PowerChime.app &

Cisco Sparkboard

Cisco Spark

Kako pregledovati promet z uporabo SPAN, RSPAN in ERSPAN tehnik?

Switch Port Analyzer (SPAN) je učinkovit način spremljanja prometa. Ta omogoča pregled prometa, ki gre na določen stikalni vmesnik. Na ta način lahko pregeldujemo vhodni in izhodni promet do končne naprave. Obstajajo triji načini spremljanja prometa na Cisco stikalih. Poznamo lokalni SPAN, oddaljeni L2 RSPAN in oddaljeni L3 ERSPAN. S spodnjimi slikami si bomo ogledali, kako delujejo.

Lokalni SPAN:

span

Lokalni SPAN omogoča pregled prometa iz enega ali več vhodnih vmesnikov na ena ali več izhodnih vmesnikov istega stikala.

Primer nastavitve stikala:

Switch# configure terminal
Switch(config)# monitor session 1 source interface G0/1
Switch(config)# monitor session 1 destination interface G0/2
Switch(config)#end

ali v novejših verzijah (12.2(33)SH in novejši)

monitor session 1 type local
source int G0/1
destination int G0/2


Oddaljeni L2 SPAN:

RSPAN


Oddaljeni L2 SPAN (L2 RSPAN) omogoča spremljane prometa, ki lahko izvira iz drugega stikala, a mora biti v istem L2 omrežju. S tem lahko centraliziramo našo napravo za spremljanje prometa. Oddaljeni L2 SPAn deluje na način, da preslika promet in izvornega vmesnika v RSPAN VLAN sejo, ki je dedicirana za spremljanje prometa in se razteza čez celoten L2 oblak. Na izhodu se ta seja enostavno preslika v izhodni port na katerem se nahaja naprava z pregledovanje prometa.

Primer oddaljeni L2 SPAN (RSPAN):
Switch1# configure terminal
Switch1(config)# vlan 100
Switch1(config-vlan)# remote-span
Switch1(config-vlan)# end
Switch1# show vlan remote-span
Remote SPAN VLANs
------------------------------------------------------------------------------
100

Switch2# configure terminal
Switch2(config)# vlan 100
Switch2(config-vlan)# remote-span
Switch2(config-vlan)# end
Switch2# show vlan remote-span
Remote SPAN VLANs
------------------------------------------------------------------------------
100


Switch1# configure terminal
Switch1(config)# monitor session 1 source interface G0/1 rx
Switch1(config)# monitor session 1 destination remote vlan 100 reflector-port G0/24
Switch1(config)# exit
Switch1# show monitor
Session 1
---------
Type : Remote Source Session
Source Ports :
Rx : G0/1
Reflector Port : G0/24
Dest RSPAN VLAN : 100


Switch2# configure terminal
Switch2(config)# monitor session 1 source remote vlan 100
Switch2(config)# monitor session 1 destination interface G0/1
Switch2(config)# exit


Oddaljen L3 SPAN (ERSPAN):

ERSPAN


Oddaljeni L3 SPAN (Encapsulated RSPAN) omogoča pregled prometa preko L3 oblaka in to z uporabo GRE enkapsulacije. Preko GRE tunela se pošilja promet na lokaciji, kjer se promet lahko pregleda. ERSPAN je Cisco protokol.

SW65001(config)# monitor session 1 type erspan-source
SW65001(config-mon-erspan-src)# source interface g0/1 rx
SW65001(config-mon-erspan-src)# no shutdown
SW65001(config-mon-erspan-src)# destination
SW65001(config-mon-erspan-src-dst)# erspan-id 101
SW65001(config-mon-erspan-src-dst)# ip address 192.168.1.1
SW65001(config-mon-erspan-src-dst)# origin ip address 192.168.100.1
Configuring Catalyst SW65002 to receive traffic from the source session on the SW65001

SW65002(config)# monitor session 2 type erspan-destination
SW65002(config-mon-erspan-dst)# destination interface g0/1
SW65002(config-mon-erspan-dst)# no shutdown
SW65002(config-mon-erspan-dst)# source
SW65002(config-mon-erspan-dst-src)# erspan-id 101
SW65002(config-mon-erspan-dst-src)# ip address 192.168.1.1
You can use the show monitor session command to verify the configuration:

SW65001#sh monitor session 1
Session 1
---------
Type : ERSPAN Source Session
Status : Admin Enabled
Source Ports :
RX Only : g0/1
Destination IP Address : 192.168.1.1
MTU : 1464
Destination ERSPAN ID : 101
Origin IP Address : 192.168.100.1


Več tukaj:
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/guide/book/span.pdf

Kako omogočiti CDP na Ubuntu operacijskem sistemu?

CDP pomeni Cisco Discovery Protocol, ki ni standardni protokoal, amapk je zaseben Cisco protokol, kar pomeni da ga več ali manj govorijo samo Cisco naprave.

CDP deluje na drugem nivoju OSI standarda. Uporaben je predvsem za sporočanje sosednji napravi kakšen tip naprave se je priključila na sosednjo napravo. Poleg tega sporoči tudi IP naslov, verzijo operacijskega sistema, itd. Uporaben je tudi pri ugotavljanju povezljivosti naprav na drugem nivoju.

CDP obvestila so poslana na multicast naslov 01:00:0c:cc:cc:cc. Obvestila se pošiljajo vsakih 60s.

Več na tem naslovu:

http://www.cisco.com/en/US/docs/ios/12_1/configfun/configuration/guide/fcd301c.html

Sedaj si bomo pogledali, kako CDP omogoči na Ubuntu operacisjkem sistemu. Podobno lahko naredite tudi na drugih linux distribucijah.

Preden začnemo, moramo dobiti CDP tools za linux. Najdete jih na tem naslovu:
http://gpl.internetconnection.net

Presnamem CDP tools programe v /tmp mapo s pomočjo naslenjega ukaza:

#wget http://gpl.internetconnection.net/files/cdp-tools.tar.gz

Zaključili so s prenosom datoteke. Ker je v tar formatu jo moramo še razpakirati. Po razpakiranju bomo dobili novo mapo “cdp-tools”. Za razpakiranj uporabite naslenji ukaz:
#tar -xvf cdp-tools.tar

Predno bomo speremenili izvorne dataoteke v datoteke, ki se lahko zaženejo, moramo še namestti nekaj dodatkov.
Prvo potrebujemo programe, ki bodo pomagali po pretvorbi izvornih datotek:
#apt-get install build-essential

Drugo moramo namestiti knjižnico, ki bo omogočala pregle in pošiljanje CDP obvestil.
#sudo apt-get install libnet1-dev libpcap0.8-dev

Sedaj imamo nameščeno vse kar potrebujemo za pretvorbo izvirnih datotek. Pretvorbo začnemo na naslednji način:
#cd cdp-tools
#make

Izpis bo izgledal podobno temu:
cc -D_BSD_SOURCE -D__BSD_SOURCE -D__FAVOR_BSD -DHAVE_NET_ETHERNET_H -DLIBNET_LIL_ENDIAN -c -o cdp-listen.o cdp-listen.c cc cdp-listen.o /usr/lib/libpcap.so -o cdp-listen cc -D_BSD_SOURCE -D__BSD_SOURCE -D__FAVOR_BSD -DHAVE_NET_ETHERNET_H -DLIBNET_LIL_ENDIAN -c -o cdp-send.o cdp-send.c cdp-send.c:70: warning: 'packed’ attribute ignored for field of type ‘unsigned char[6]' cdp-send.c:71: warning: 'packed' attribute ignored for field of type 'unsigned char[6]' cdp-send.c:74: warning: 'packed' attribute ignored for field of type 'u_int8_t' cdp-send.c:75: warning: 'packed' attribute ignored for field of type 'u_int8_t' cdp-send.c:77: warning: 'packed' attribute ignored for field of type 'u_int8_t' cdp-send.c:78: warning: 'packed' attribute ignored for field of type 'u_int8_t[3]' cc cdp-send.o /usr/lib/libnet.so -o cdp-send
Če je vse potekalo po načrtu imamo sedaj dve datoteki:
“cdp-send” - pošlji CDP obvestilo
“cdp-listen” - preberi poslano CDP obvestilo

Ti dve datoteki prenesemo v /usr/bin mapo s pomočjo naslednjega ukaza:
#cd cdp-tools
#sudo cp cdp-send cdp-listen /usr/bin

Za pošiljanje CDP obvestil uporabimo naslednji ukaz:
#sudo cdp-send eth0

Izpis na Cisco stikalu izgleda takole:
#sh cdp neighbour

Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
D - Remote, C - CVTA, M - Two-port Mac Relay

Device ID Local Intrfce Holdtme Capability Platform Port ID
web Gig 0/3 162 H i686 eth0

Če želimo imeti omogočeno pošiljanje CDP obvestil tudi ob zagonu ali ponovnem zagonu naprave moramo dodati spremembo v “rc.local” datoteko ki se nahaja v /etc mapi.

Osnovne nastavitve Cisco ASA naprave

Pogledali si bomo osnovne nastavitve Cisco ASA naprave. V tem primeru bomo delali na ASA 5505.

Screen Shot 2016-04-16 at 19.07.11

Osnovne nastavitve:
ciscoasa#conf t
ciscoasa(config)# hostname ASA
ASA(config)# domain-name asa.local
ASA(config)# clock timezone CET 1
ASA(config)# clock summer-time CET recurring last Sun Mar 2:00 last Sat Oct 2:00
ASA(config)# ntp server 193.2.4.2 prefer source Outside
ASA(config)# password encryption
ASA(config)# password admin
ASA(config)# enable password admin

Nastavitve IP naslovov na zunanjem in notranjem omrežju (glej sliko):
ASA#conf t
ASA(config)# interface Vlan1
ASA(config-if)# description ==LAN Network==
ASA(config-if)# nameif Inside
ASA(config-if)# security-level 100
ASA(config-if)# ip address 192.168.150.1 255.255.255.0

ASA(config)# interface Vlan10
ASA(config-if)# description ==WAN Network==
ASA(config-if)# nameif Outside
ASA(config-if)# security-level 0
ASA(config-if)# ip address 10.0.0.20 255.255.255.0

ASA(config)# interface ethernet0/0
ASA(config-if)# description ==WAN interface==
ASA(config-if)# switchport mode access
ASA(config-if)# switchport access vlan 10

ASA(config)# interface ethernet0/1
ASA(config-if)# description ==LAN interface==
ASA(config-if)# switchport mode access
ASA(config-if)# switchport access vlan 1

Nastavitve IP naslovov za zunanje omrežje pri uporabi PPPoE protokola:
ASA(config)# interface Vlan10
ASA(config-if)# description ==WAN Network PPPoE==
ASA(config-if)# nameif Outside
ASA(config-if)# security-level 0
ASA(config-if)# pppoe client vpdn group SP
ASA(config-if)# ip address pppoe
ASA(config)# mtu outside 1492
ASA(config)# vpdn group SP request dialout pppoe
ASA(config)# vpdn group SP localname ASA
ASA(config)# vpdn group SP ppp authentication pap
ASA(config)# vpdn username "username" password "password"

ASA(config)# interface ethernet0/0
ASA(config-if)# description ==WAN interface==
ASA(config-if)# switchport mode access
ASA(config-if)# switchport access vlan 10

Nastavitve privzete statične poti:
route Outside 0.0.0.0 0.0.0.0 10.0.0.1

Nastavitev dinamičnega transliranja IP naslovov (NAT/PAT):
ASA(config)# object-group network PAT_SOURCE
ASA(config-network-object-group)# network-object 192.168.150.0 255.255.255.0
ASA(config)# nat (any,Outside) after-auto source dynamic PAT_SOURCE interface

Nastavitev statičnega transliranja IP naslovov. V spodnjem primeru bomo naredili translacijo za spletni strežnik (port 80):
ASA(config)# object network NAT-WWW
ASA(config-network-object-group)# host 192.168.150.9
ASA(config-network-object-group)# nat (inside,outside) static interface
ASA(config)# access-list Outside_access_in permit tcp any4 object NAT-WWW eq www
ASA(config)# access-group outside_access_in in interface outside

Za testiranje delovanja statične translacije se uporabi naslednji ukaz:
ASA#packet-tracer input outside tcp 10.0.0.5 12000 10.0.0.20 80

Nastavitev oddaljenega dostopa preko SSH in HTTP protokola
Primer HTTP dostop:
ASA(config)# http server enable 443
ASA(config)# http 192.168.150.0 255.255.255.0 Inside
ASA(config)# username admin password admin
ASA(config)# aaa authentication http console local

Primer SSH dostop:
ASA(config)# crypto key generate rsa modulus 1024
ASA(config)# write memory
ASA(config)# username admin password admin
ASA(config)# aaa authentication ssh console local
ASA(config)# ssh 192.168.150.0 255.255.255.0 Inside
ASA(config)# ssh version 2

Nastavitev dostopa preko konzolnega porta:
ASA(config)# username admin password admin
ASA(config)# aaa authentication serial console local

Nastavitev lokalnega DHCP strežnika:
ASA(config)# dhcpd dns 8.8.8.8 8.8.8.4
ASA(config)# dhcpd lease 259200
ASA(config)# dhcpd domain asa.local
ASA(config)# dhcpd address 192.168.150.10-192.168.150.254 Inside
ASA(config)# dhcpd enable Inside

Več na naslednjih naslovih:
http://www.cisco.com/en/US/partner/docs/security/asa/asa91/configuration/general/asa_91_general_config.html
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080ab7ce9.shtml

Kako uporabiti SCP protokol za prenos podatkov z/na Cisco napravo?

S pomočjo Secure Copy (SCP) protokola lahko prenašamo datoteke na ali z naprav.

Prvo moramo omogočiti na strežniški strani, da dovoljuje SCP. Na cisco napravah nastavimo:
router#conf t
router(config)#ip scp server enable

S pomočjo SCP protokola lahko prenesemo konfiguracijo oddaljene naprave.
#scp admin@192.168.1.1:running-config running-config

S pomočjo SCP protokola lahko prenesemo datoteke na oddaljeno napravo.
#scp config.text admin@192.168.1.1:config.text

Kako nastaviti SSH dostop do Cisco naprav z uporabo ključev?

Najprej moramo ustvariti javni in privatni ključ. Ko smo ustvarili javni in privatni ključ, moramo dobiti podatke iz javnega ključa, katerega bomo prekopirali na Cisco napravo. To naredite na naslednji način:
Router>enable
Router#configure terminal
Router(config)#ip ssh pubkey-chain
Router(config-key)#username admin
Router(config-key-pub)#key “prilepi ključ”
Router(config-key-pub)#exit
Router(config-key)#end
Router#

Primer public ključa in kateri del morate presneti v polje “prilepi ključ”
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIBztRNLSqzuIDxATAl6zAhLcsTL40XHAANd+7ljTpbgvYX5IDJjYyD4jpDW9x8Qml553k0chDNFuW2ZE0gVL+MetDatI/DrgMIVRVcU9ZJLsVGqv6SuXeQI7UpvkP7ow+HS0hTd7GDw9sJ+OjAEIIcAhlBJ+4CPIeWjs98Z5ube6Q== my-cisco-device-key

Prenesti je potrebno samo del v zelenem.
Testiramo s svojim priljubljenim ssh odjemalcem. Na linux terminalu izgleda takole:
ssh admin@192.168.1.1 -i “vaš_ključ”

Kako nastaviti SSH dostop do Cisco naprav?

Secure Shell (SSH) protokol omogoča varni dostop do oddaljenih naprav. Komunikacija med odjemalcem in strežnikom je zaščiteno tako z uporabo SSH v1 kot SSH v2. Če le lahko uporabite SSH v2, katera omogoča večjo stopnjo varovanja povezave. Več tukaj.

Najprej omogočimo lokalno avtentikacijo, kar pomeni da bo uporabljal za prijavo na napravo lokalno bazo uporabnikov.
Router>enable
Router#configure terminal
Router(config)#aaa new-model
Router(config)#aaa authentication login default local
Router(config)#aaa authorization exec default local
Router(config)#username admin secret admin

Za SSH protokol moramo definirati domensko ime v katerega router pripada.
Router(config)#ip domain-name test.local

Na napravi moramo nastavili RSA ključ.
Router(config)#crypto key generate rsa 2048

Zadnjo korak je nastavitev naprave, da sprejema samo SSH protokol za prijavo.
Router(config)#line v 0 4
Router(config-line)#transport input ssh
Router(config-line)#login local

Testiramo s svojim priljubljenim ssh odjemalcem. Na linux terminalu izgleda takole:
ssh admin@192.168.1.1

Kako nastaviti flexible netflow na Cisco napravah?

Cisco netflow je tehnologija, ki nam omogoča zajemanje prometa, ki gre skozi omrežno napravo. Ponavadi želimo zajeti promet na prehodu iz lokalnega omrežja v internet. S pomočjo netflow tehnologije lahko preverimo količino prometa, tip prometa, promet po posameznem IP naslovu, itd.

Za analaiziranje prometa potrebujemo netflow zbiralni strežnik, ki netflow podatke sprejme in jih obdela. Primer prostega programa je
nTop.

Netflow naprave za zajemanje podatkov potrebujejo strojni del, ki je vgrajan v samo napravo. Zajemanje podatkov lahko delamo tud programsko, a bo naprava zelo procesorsko obremenjena in ne bo omogočala zajem velikega števila podatkov. Zato imajo vse Cisco naprave, ki podpirajo netflow to rešeno strojno in ne programsko.

Če želimo imeti točne podatke, moramo netflwo vključiti na vseh delujočih vmesnikih.

Flexible netflow je nadgradnja klasičnega netflow-a. S flexible neflow-om lahko zajemamo samo promet, ki nas zanima, po naših kriterijih in to za IPv4 in IPv6 pakete. Za vsakega lahko definiramo svoje kriterije.

Pri fleixible netflow-u je potrebno vedeti tri zadeve:

Record - To je zapisek Netflow v9 predloge. To predlogo preiodično zajamemo in pošljemo zbiralnemu strežniku. Imamo dva različna kriterija (match in collect). Match je nujen zapisek in če vseh match stavkov seja ne izpolnjuje, je ne bomo poslali proti zbriatelju. Z collect pa povemo kakšen format predloge bomo poslali zbirnemu strežniku.

Primer za IPv4 promet
flow record ipv4_record
match ipv4 source address
match ipv4 destination address
match ipv4 protocol
match transport source-port
match transport destination-port
collect interface input
collect interface output
collect counter packets
collect counter bytes
collect timestamp sys-uptime first
collect timestamp sys-uptime last
collect transport tcp source-port
collect transport tcp destination-port
collect ipv4 tos
collect transport tcp flags
collect routing source as
collect routing destination as
collect ipv4 source mask
collect ipv4 destination mask
collect flow direction

Primer za IPv6 promet
flow record ipv6_record
match ipv6 source address
match ipv6 destination address
match ipv6 protocol
match flow direction
match transport source-port
match transport destination-port
collect interface input
collect interface output
collect counter packets
collect counter bytes
collect timestamp sys-uptime first
collect timestamp sys-uptime last
collect transport tcp source-port
collect transport tcp destination-port
collect ipv6 tos
collect transport tcp flags
collect routing source as
collect routing destination as
collect ipv6 source mask
collect ipv6 destination mask

Exporter - je opis zbiralnega strežnika, ki bo zbiral poslane zapiske. V tem primeru ne povemo kaj bomo pošiljali, samo kam bomo poslali. Tu definiramo tudi, kako pogosto bomo poslali informacije.

Primer:
flow exporter my_flow_collector
destination 10.1.1.10
source loopback0
transport udp 2055
export-protocol netflow-v9
template data timeout 60

Monitors - Sedaj moramo povedati kakšno vsebino bomo pošiljali zbiratelju. To naredimo v dveh delih. En del je vsebi na in drug del je na katerem vmesniku.

Primer vsebine IPv4:

flow monitor main_monitor
record ipv4_record
exporter my_flow_collector
cache timeout active 30

Primer vsebine IPv6:
flow monitor main_monitor_v6
record ipv6_record
exporter my_flow_collector
cache timeout active 30

Primer pripetja na vmesnik:
interface InternalNetwork/0
ip flow monitor main_monitor input
ipv6 flow monitor main_monitor_v6 input
exit
interface InternalNetwork/1
ip flow monitor main_monitor input
ipv6 flow monitor main_monitor_v6 input


Več informacij o neflow tehnologiji na naslednjem naslovu - http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/01xo/configuration/guide/config/fnf.pdf

Kako omogočiti avtomatsko arhiviranje nastavitev na Cisco usmerjevalniku ali stikalu?

Vsak upravljalec omrežja si želi shranjevati varnostne kopije nastavitev naprav. Z naslednjimi nastavitvami pripravite Cisco omrežne naprave, da na določen čas ali ob ukazu “write memory” shranijo nastavitve tako v NVRAM kot na določeno lokacijo v omrežju (FTP, TFTP, SCP). V primeru bomo shranjevali nastavitve na oddaljen TFTP strežnik.

archive
log config
logging enable
notify syslog contenttype plaintext
hidekeys
path tftp://IP_Naslov/ImeDatoteke
write-memory
time-period 1440

S pomočjo “write memory” ukaza lahko sprožimo shranjevanje. Po shranjevanju preverimo na TFTP strežniku, če se je nastavitvena datoteka prepisala na TFTP strežnik.

Kako nastaviti Cisco brezžično točko z več SSID-ji (samostoječo)?

Primer postavitve in nastavitve Cisco samostoječe brezzične točke z več SSID-ji.

Screen Shot 2016-04-14 at 08.41.52

  • Nastavitev stikala oz. porta na katerem je brezžična točka priklopljena. V primeru se predvideva, da je usmerjanje urejeno, da se podeljujejo IP naslovi preko DHCP strežnika in da so vse ostale nastavitve že na stikalu

L2_1> en
L2_1# conf t
L2_1(config)# vlan 10
L2_1(config)# vlan 30

L2_1(config)# int g0/24
L2_1(config-if)# description ==Trunk to AP==
L2_1(config-if)# switchport mode trunk
L2_1(config-if)# swicthport trunk encapsulation dot1q


  • Nastavitev SSDI-jev in mapiranje le teh na prave VLAN-e. V primeru bomo uporabljali dva SSID-ja (WPA in WPA2)
AP> en
AP# conf t
AP(config)# dot11 vlan-name WPA vlan 10
AP(config)# dot11 vlan-name WPA2 vlan 30

AP(config)# dot11 ssid WPA
AP(config-ssid)# vlan 10
AP(config-ssid)# authentication open
AP(config-ssid)# authentication key-managmnet wpa
AP(config-ssid)# mbssid guest-mode
AP(config-ssid)# wpa-psk asci “password”

AP(config)# dot11 ssid WPA2
AP(config-ssid)# vlan 30
AP(config-ssid)# authentication open
AP(config-ssid)# authentication key-managmnet wpa version 2
AP(config-ssid)# mbssid guest-mode
AP(config-ssid)# wpa-psk asci “password”

  • Nastavitev ekripcije na vsak posamezni SSID, ki so razporejeni v prave VLANe.
AP> en
AP# conf t
AP(config)# int dot11Radio 0
AP(config-if)# Mbssid
AP(config-if)# ssid WPA
AP(config-if)# ssid WPA2
AP(config-if)# encryption vlan 10 mode chiper tkip
AP(config-if)# encryption vlan 30 mode chipre aes-ccm


  • Nastavitev subinterface za radijski del in ethernet
AP> en
AP# conf t
AP(config)# int dot11Radio 0.10
AP(config-if)# encapsulation dot1q 10
AP(config-if)# bridge group 10

AP(config-if)# int dot11Radio 0.30
AP(config-if)# encapsulation dot1q 30
AP(config-if)# bridge group 30

AP(config-if)# int gigabitEthernet 0.10
AP(config-if)# encapsulation dot1q 10
AP(config-if)# bridge group 10

AP(config-if)# int gigabitEthernet 0.30
AP(config-if)# encapsulation dot1q 30
AP(config-if)# bridge group 30

AP(config-if)# bridge irb

Debian pomembne datoteke pri omrežnih nastavitvah

/etc/resolv.conf
datoteka nosi informacije kateri DNS strežnike naj uporabi za spreminjanje DNS ime v IP naslov. Če imamo statični IP naslov moramo ročno nastviti DNS strežnike v datoteko, če pa imamo nastavljeno, da pridobimo IP naslov preko DHCP protokola, potem tega ni potrebno nastavljati.

Datoteka resolv.conf vsebuje naslednje nastavitve:

search name-of-domain.com - Ime domene, katere uporabljate DNS strežnike
nameserver XXX.XXX.XXX.XXX - IP naslov primarnega DNS strežnika
nameserver XXX.XXX.XXX.XXX - IP naslov sekundarnega DNS strežnika

Primeri DNS strežnikov:
8.8.8.8 in 8.8.4.4 - Google DNS strežnika (IPv4)
2001:4860:4860::8888 in 2001:4860:4860::8844 - Google DNS strežnika (IPv6)
193.2.1.66 in 193.2.1.72 - Arnes DNS strežnika (IPv4)
2001:1470:8000::66 in 2001:1470:8000::72 - Arnes DNS strežnika (IPv6)

/etc/hosts
datoteka pove sistemu, da obstajajo tudi naprave, ki niso vpisane v DNS strežnik, a bi do njih vseeno radi dostopali preko domenskega imena in ne preko IP naslova.

Datoteka hosts vsebuje naslednje nastavitve:
127.0.0.1 ime_lokalne_naprave.tvoja-domaina.si localhost.localdomain localhost
XXX.XXX.XXX.XXX ime_naprave - prvo celotno DNS ime, kasneje tudi samo ime brez DNS korena

Omrežne nastavitve v debian različicah

/etc/network/interfaces
datoteka ima informacije o dinamičnem ali statišnem IP naslovu na omrežni napravi. Naslednja dva primera prikazujeta, kako dinamično pridobiti IP naslov in kako nastaviti statični IP naslov.

Dinamično pridobivanje ip naslova:
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet dhcp

Nastavitev statičnega ip naslova:
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.100.2
netmask 255.255.255.0
broadcast 192.168.10.255
network 192.168.100.0
gateway 192.168.100.128

Vse nastavitve začnejo veljati ob zagonu sistema. Če želimo samo zažasno spremeniti IP naslov, potem lahko uporabimo ifconfig ukaz, ki je namenjen za spreminjane IP naslova na omrežni kartici iz ukazne vrstice.

Primer ukaza:
/sbin/ifconfig eth0 192.168.100.2 netmask 255.255.255.0 broadcast 192.168.100.255

lo: Loopback logična omrežna kartica
eth0: Prva ethernet omrežna kartica
wlan0: Prva brezžična omrežna kartica

Kako v terminalu omogočiti izpis * ob tipkanju gesla?

V terminalu je potrebno narediti naslednje:
sudo visudo

Poišči izpis, ki izgleda kot:
Defaults env_reset

in ga spremin v:
Defaults env_reset,pwfeedback

Shrani spremembe. Ob naslednjem tipkanju gesla se bodo prikazovale zvezdice namesto ničesar.

Kako omogočiti/onemogočiti kriptiranje VNC povezave?

Omogočiti kriptiranje VNC povezave:
gsettings set org.gnome.Vino require-encryption true

Onemogočiti kriptiranje VNC povezave:
gsettings set org.gnome.Vino require-encryption false

Kako pohitriti vzpostavljanje ssh povezave?

Kreirati moramo novo datoteko ali jo dopolniti če že obstaja. To naredimo na naslednji način:
$ cd ~/.ssh
$ nano config

Vstavi naslednje v config datoteko:
Host *
ControlMaster auto
ControlPath ~/.ssh/master-%r@%h:%p

Kako dovoliti dostop do perifernih naprav preko različnih vrat - USB, serial, etc)

Dostop do različnih vrat naredimo naslednje:
sudo adduser $USER dialout

Kako zagnati “wireshark” program z non-root pravicami?

Če namestimo wireshark in ga poskušamo zagnati kot običajni uporabnik, ne moremo dostopati do omrežnih adapterjev za zajemanje prometa. S pomočjo naslednjih ukazov lahko zaženemo wireshark z non-root privelegiji, kjer lahko uporabimo vse funkcije, ki jih wireshark omogoča.

sudo dpkg-reconfigure wireshark-common

Screen Shot 2016-04-14 at 08.05.25

Potrebno je dodati obstoječega uporabnika v skupino wireshark.
sudo adduser $USER wireshark ($USER = current user)

Kako iskati datoteke v ukazni vrstici?

Za iskanje lahko uporabimo program Find, ki je podoben na vseh *nix sistemih.

Osnovni Find ukaz izgleda nekako takole:
find path parameters

Če želimo znotraj uporabniške mape najti vse datoteke, ki vsebujejo besedo “joke”, bo Find ukaz izgledal takole:
find ~ -iname "joke*”

Če pričakujemo več rezultatov, lahko vgezdimo ukaze:
find ~ -iname "joke*” | more

Namestitev in nastavitev DHCP strežnika

DHCP strežnik omogoča dodeljevanje IP naslov končnim napravam, kot so račnulniki, tablični računalniki, tiskalniki, pametni telefoni, itd. Ponavadi se uporablja v večjih potjetjih zaradi zamnjašanja potrebe po nastavitvah IP naslovov na vsaki napravi posebej. Strežnik shranjuje informacije, katera naprava je dobila kateri naslov in koliko časa je le ta podelitev veljavna. Poglejmo si, kaj potrebujemo za namestitev:

1.Namestitev DHCP datotek na Ubuntu strežnik:


$ sudo apt-get install dhcp3-server

2.Nastavitev DHCP strežnika (/etc/dhcp3/dhcpd.conf)

Zgornjo datoteko uredite s svojim priljubljenim urejevalcem besedil.

2a. Globalne nastavitve datoteke naj izgledajo takole:

# listen interface
DHCPDARGS=eth0; (omrežna kartica na kateri strežnik posluša za DHCP zahteve)
# Global options
default-lease-time 3600; (privzeto trajanje rezervacije naslova v sekundah)
max-lease-time 7200; (maksimalno trajanje rezervacije naslova v sekundah)
authoritative;

2b. Nastavitev DHCP območja IP naslovov za lokalno omrežje)

# Local (VLAN1 - MANAGEMENT)
subnet 192.168.100.0 netmask 255.255.255.0 {
option ntp-servers 192.168.100.1; (podeli naslov časovnega strežnika)
option routers 192.168.100.1; (podeli privzeti IP usmerjevalnika)
option subnet-mask 255.255.255.0;
option domain-name "ime_domene"; (podeli domensko ime)
option domain-name-servers 192.168.100.3; (podeli DNS strežnike)
range 192.168.100.11 192.168.10.254; (skupina IP naslovov, ki bodo podeljeni)
}

2c. Podelitev v naprej rezerviranih IP naslovov za naprave, katere želimo, a iamjo vedno enak naslov. Za to potrebujemo mac naslov naprave (printer)


# Local (VLAN1 - MANAGEMENT)
subnet 192.168.100.0 netmask 255.255.255.0 {
option ntp-servers 192.168.100.1;
option routers 192.168.100.1;
option subnet-mask 255.255.255.0;
option domain-name "ime_domene";
option domain-name-servers 192.168.100.3;
range 192.168.100.11 192.168.10.254;
# Printer
host Printer {
option ntp-servers 192.168.100.1;
hardware ethernet 00:11:22:33:44:55; (mac naslov naprave)
fixed-address 192.168.100.10; (rezervirani IP naslov za to napravo)
}
}

Kako nastaviti PAT translacijo?

Screen Shot 2016-04-19 at 15.38.48

Konfiguracija IOS usmerjevalnika
interface GigabitEthernet0/0
description >>INTERNET<<
ip address 192.168.100.1 255.255.255.252
ip nat outside

interface GigabitEthernet0/1
description >>LAN<<
ip address 10.0.11.1 255.255.255.0
ip nat inside

ip route 0.0.0.0 0.0.0.0 192.168.100.2

ip nat inside source list NAT interface GigabitEthernet0/0 overload

ip access-list extended NAT
permit ip 10.0.11.0 0.0.0.255 any

#Statično mapiranje WEB strežnika
ip nat inside source static tcp 10.0.11.2 80 192.168.100.1 80

Več informacij na naslednjem naslovu:
http://www.cisco.com/en/US/tech/tk175/tk15/technologies_configuration_example09186a0080093e51.shtml

Kako nastaviti LAN to LAN ipsec povezo med lokacijama?

Screen Shot 2016-04-19 at 15.34.32

Konfiguracija levega IOS usmerjevalnika
crypto isakmp policy 1
encr aes
authentication pre-share
group 16
crypto isakmp key cisco123 address 192.168.100.2

crypto ipsec transform-set SVTI esp-aes esp-sha-hmac

crypto map IPSEC 1 ipsec-isakmp
set peer 192.168.100.2
set transform-set SVTI
match address LAN-to-LAN

interface Loopback0
ip address 10.0.11.1 255.255.255.0

interface GigabitEthernet0/0
ip address 192.168.100.1 255.255.255.252
crypto map IPSEC

ip route 10.0.12.0 255.255.255.0 192.168.100.2

ip access-list extended LAN-to-LAN
permit ip 10.0.11.0 0.0.0.255 10.0.12.0 0.0.0.255

Konfiguracija desnega IOS usmerjevalnika
crypto isakmp policy 1
encr aes
authentication pre-share
group 16
crypto isakmp key cisco123 address 192.168.100.1

crypto ipsec transform-set SVTI esp-aes esp-sha-hmac

crypto map IPSEC 1 ipsec-isakmp
set peer 192.168.100.1
set transform-set SVTI
match address LAN-to-LAN

interface Loopback0
ip address 10.0.12.1 255.255.255.0

interface GigabitEthernet0/0
ip address 192.168.100.2 255.255.255.252
crypto map IPSEC

ip route 10.0.11.0 255.255.255.0 192.168.100.1

ip access-list extended LAN-to-LAN
permit ip 10.0.12.0 0.0.0.255 10.0.11.0 0.0.0.255

Delovanje preverimo z naslednjimi ukazi:
1. Preverimo nastavitve ipsec tunela:
zgornji#sh crypto map
Crypto Map "IPSEC" 1 ipsec-isakmp
Peer = 192.168.100.2
Extended IP access list LAN-to-LAN
access-list LAN-to-LAN permit ip 10.0.11.0 0.0.0.255 10.0.12.0 0.0.0.255
access-list LAN-to-LAN permit ip any any
Current peer: 192.168.100.2
Security association lifetime: 4608000 kilobytes/3600 seconds
Responder-Only (Y/N): N
PFS (Y/N): N
Transform sets={
SVTI: { esp-aes esp-sha-hmac } ,
}
Interfaces using crypto map IPSEC:
GigabitEthernet0/0

2. Preverimo če kriptiramo promet na tunelu:
zgornji#sh crypto session
Crypto session current status

Interface: GigabitEthernet0/0
Session status: UP-ACTIVE
Peer: 192.168.100.2 port 500
IKE SA: local 192.168.100.1/500 remote 192.168.100.2/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 0, origin: crypto map
IPSEC FLOW: permit ip 10.0.11.0/255.255.255.0 10.0.12.0/255.255.255.0
Active SAs: 2, origin: crypto map

3. Preverimo če deluje promet med dvema lokacijama:
zgornji#ping 10.0.12.1 so l0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.12.1, timeout is 2 seconds:
Packet sent with a source address of 10.0.11.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

zgornji#sh access-lists
Extended IP access list LAN-to-LAN
10 permit ip 10.0.11.0 0.0.0.255 10.0.12.0 0.0.0.255 (35 matches)

Več informacij na naslednji strani:
http://www.cisco.com/en/US/products/ps9422/products_configuration_example09186a0080ba1d0a.shtml

Namestitev in uporaba TFTP strežnika

Redhat
Namestitev TFTP datotek na redhat strežnik:

$ sudo yum install xinetd tftpd tftp

Za potrebe shranjevanja datotek, je potrebno narediti mapo, ki bo imela pravice uporabnija nobody, ki bo lahko kreiral datoteko, katero želi shraniti.

$ sudo mkdir /var/tftpboot
$ sudo chmod -R 777 /var/tftpboot
$ sudo chown -R nobody:nobody /var/tftpboot


Spremeniti je potrebno datoteko /etc/xinedt.d/tftp. Za to uporabite svoj priljubljeni urejevalec besedil. Če datoteka ne obstaja, jo kreirajte. Vsebina datoteke naj izgleda tako:

service tftp
{
protocol = udp
port = 69
socket_type = dgram
wait = yes
user = nobody
server = /usr/sbin/in.tftpd
server_args = -s -c /var/tftpboot
disable = no
}

Vse smo nastavil kot je potrebno. Sedaj moramo samo še zagnati service

$ sudo /etc/init.d/xinetd start

Testno poskusimo narediti kopijo delujoče konfiguracije na Cisco usmerjevalniku (npr. TFTP strežnik se nahaja na 192.168.10.10 IP naslovu)

# copy running-config tftp://192.168.10.10/router_config

Debian
Namestitev TFTP datotek na Ubuntu strežnik:

$ sudo apt-get install tftp-hpa tftpd-hpa

Za potrebe shranjevanja datotek, je potrebno narediti mapo, ki bo imela pravice uporabnija nobody, ki bo lahko kreiral datoteko, katero želi shraniti.

$ sudo mkdir /var/tftpboot
$ sudo chmod -R 755 /var/tftpboot
$ sudo touch /var/tftpboot
$ sudo chown -R tftp:tftp /var/tftpboot


Spremeniti je potrebno datoteko /etc/default/tftpd-hpa. Za to uporabite svoj priljubljeni urejevalec besedil. Če datoteka ne obstaja, jo kreirajte. Vsebina datoteke naj izgleda tako:

TFTP_USERNAME="tftp"
TFTP_DIRECTORY="/var/tftpboot"
TFTP_ADDRESS="0.0.0.0:69"
TFTP_OPTIONS="--create --listen --secure"
RUN_DAEMON="yes"


Vse smo nastavil kot je potrebno. Sedaj moramo samo še zagnati service

$ sudo /etc/init.d/tftpd-hpa start

Testno poskusimo narediti kopijo delujoče konfiguracije na Cisco usmerjevalniku (npr. TFTP strežnik se nahaja na 192.168.10.10 IP naslovu)

# copy running-config tftp://192.168.10.10/router_config

Kako nastaviti WPA (TKIP) in WPA2 (AES) na Cisco samostoječi brezžični napravi?

Osnovne nastavitve Cisco brezžične naprave:
AP>en
AP#conf t
AP(config)#int bvi1
AP(config-if)#ip address DHCP


Primer nastavitve WPA z uporabo TKIP enkripcije:
AP>en
AP#conf t
AP(config)#dot11 ssid test
AP(config-ssid)auth open
AP(config-ssid)auth key-man wpa
AP(config-ssid)wpa-psk ascii test
AP(config-ssid)#exit

AP(config)#int dot11 0/0
AP(config-if)#description 5Ghz
AP(config-if)#ssid test
AP(config-if)#encryption mode ciphers TKIP
AP(config-if)#no shut

AP(config)#int dot11 0/1
AP(config-if)#description 2.4Ghz
AP(config-if)#ssid test
AP(config-if)#encryption mode ciphers TKIP
AP(config-if)#no shut
AP(config-if)#end


Primer nastavitve WPA z uporabo AES enkripcije:
AP>en
AP#conf t
AP(config)#dot11 ssid test1
AP(config-ssid)auth open
AP(config-ssid)auth key-man wpa version 2
AP(config-ssid)wpa-psk ascii test1
AP(config-ssid)#exit

AP(config)#int dot11 0/0
AP(config-if)#description 5Ghz
AP(config-if)#ssid test1
AP(config-if)#encryption mode ciphers AES
AP(config-if)#no shut

AP(config)#int dot11 0/1
AP(config-if)#description 2.4Ghz
AP(config-if)#ssid test1
AP(config-if)#encryption mode ciphers AES
AP(config-if)#no shut
AP(config-if)#end

Kako spremeniti MAC naslov na omrežnem vmesniku (brezžični ali žični)?

Mac naslov je enoznačna označba mrežnega naslova na drugem nivoju OSI standarda. Le ta mora biti v tem drugem nivoju unikaten. Včasih se zgodi, da potrebujemo spremeniti mac naslov na omrežnem vmesniku.

Prvo preverimo kakšen imamo vgrajen mac naslov:
ifconfig eth0 | grep HWaddr

Izpis bo nekaj podobnega:
ether 00:26:bb:69:ad:20

V drugem koraku pripravimo mac naslov. Lahko si ga izmislimo ali pa naključno zgeneriramo. Za naključni mac naslov lahko uporabimo naslednji ukaz:
openssl rand -hex 6 | sed 's/\(..\)/\1:/g; s/.$//'

Rezultat bo izgedal nekako takole:
77:bf:60:64:0d:aa

Ko imamo pripravljen mac naslov, ga moramo samo še pripeti na omrežni vmesnik.
sudo ifconfig eth0 hw ether 77:bf:60:64:0d:aa

Preverimo, ali smo spremenili mac naslov na omrežnem vmesniku.
ifconfig en1 | grep HWaddr

Izpisati mora:
77:bf:60:64:0d:aa

Uporabni SNMP oid številke za različne naprave

Cisco
Standalone AP
Wireless associations on 2.4GHz radio:.1.3.6.1.4.1.9.9.273.1.1.2.1.1.1
Wireless associations on 5 Ghz radio: .1.3.6.1.4.1.9.9.273.1.1.2.1.1.2

Catalyst switches
Current temperature:.1.3.6.1.4.1.9.9.13.1.3.1.3.1004
Temperature threshold:.1.3.6.1.4.1.9.9.13.1.3.1.4.1004

Uptime
Uptime on cisco devices: .1.3.6.1.6.3.10.2.1.3.0

IOS Firewall (CBAC)
Active firewall sessions: .1.3.6.1.4.1.9.9.491.1.1.1.6.0
Half-open firewall sessions: .1.3.6.1.4.1.9.9.491.1.1.1.5.0

VPN (IPsec, SSL, Anyconect ..)
IPSEC VPN count - .1.3.6.1.4.1.9.9.171.1.3.1.1.0
SSL VPN count (Anyconnect) - .1.3.6.1.4.1.9.9.392.1.3.35.0
WEBVPN count - .1.3.6.1.4.1.9.9.392.1.3.38.0

Samsung printer
Black toner in percent: .1.3.6.1.2.1.43.11.1.1.9.1.4
Yellow toner in percent: .1.3.6.1.2.1.43.11.1.1.9.1.1
Cyan toner in percent: .1.3.6.1.2.1.43.11.1.1.9.1.3
Magenta toner in percent: .1.3.6.1.2.1.43.11.1.1.9.1.2
Total printed pages: .1.3.6.1.2.1.43.10.2.1.4.1.1

Iomega NAS
NAS temperature: 1.3.6.1.4.1.1139.10.6.2.1.3.1
NAS FAN speed: .1.3.6.1.4.1.1139.10.6.1.1.3.1

Uporaba IPerf programa za testiranje prepustnosti omrežja

Iperf je najpopularnejših programov za analiziranje prepustnosti omrežja. Program se izvaja iz ukazne vrstice. Deluje kot strežnik, ki posluša ne nekem portu, kot klient, ki se povezuje na strežniški del. Iperf je program, ki ga lahko najdete za različne operacijske sisteme. Pride tudi v lepem grafičnem programom (Jperf).
Prvo moramo na eni strani zagnati iperf prohram v strežniškem načinu. V spodnjem primeru bo iperf poslušal na TCP vratih št. 9000.

#:~$ iperf -s -p 9000
------------------------------------------------------------
Server listening on TCP port 9000
TCP window size: 85.3 KByte (default)
------------------------------------------------------------


Naslednje zaženemo iperf v klient načinu (na drugem koncu omrežja). Pred tem si poglejmo še možnosti, ki jih omogoča iperf
Next, we'll run iperf in client mode on the user's workstation. The options in the command below specify the following:
-c 10.0.4.67 - Klient način, ki se povezuje na strežniški ip 10.0.4.67
-p 9000 - Poveži se na vrata št. 9000 (privzeto TCP)
-t 15 - Poganjaj test 15 sekund
-i 1 - Izpiši statistiko v konzolo vsako sekundo
-f m - Prikaži hitrost v Mbps.

#:~$ iperf -c 10.0.4.67 -p 9000 -t 15 -i 1 -f m
------------------------------------------------------------
Client connecting to 10.0.4.67, TCP port 9000
TCP window size: 0.02 MByte (default)
------------------------------------------------------------
[ 3] local 10.0.4.60 port 45030 connected with 10.0.4.67 port 9000
[ ID] Interval Transfer Bandwidth
[ 3] 0.0- 1.0 sec 11.4 MBytes 95.7 Mbits/sec
[ 3] 1.0- 2.0 sec 11.2 MBytes 94.4 Mbits/sec
[ 3] 2.0- 3.0 sec 11.2 MBytes 93.8 Mbits/sec
[ 3] 3.0- 4.0 sec 11.4 MBytes 95.4 Mbits/sec
[ 3] 4.0- 5.0 sec 11.2 MBytes 94.4 Mbits/sec
[ 3] 5.0- 6.0 sec 11.2 MBytes 93.8 Mbits/sec
[ 3] 6.0- 7.0 sec 11.2 MBytes 93.8 Mbits/sec
[ 3] 7.0- 8.0 sec 11.4 MBytes 95.9 Mbits/sec
[ 3] 8.0- 9.0 sec 11.6 MBytes 97.5 Mbits/sec
[ 3] 9.0-10.0 sec 11.4 MBytes 95.9 Mbits/sec
[ 3] 10.0-11.0 sec 11.7 MBytes 98.5 Mbits/sec
[ 3] 11.0-12.0 sec 11.2 MBytes 94.4 Mbits/sec
[ 3] 12.0-13.0 sec 12.0 MBytes 101 Mbits/sec
[ 3] 13.0-14.0 sec 10.9 MBytes 91.8 Mbits/sec
[ 3] 14.0-15.0 sec 10.9 MBytes 91.8 Mbits/sec
[ 3] 0.0-15.0 sec 170 MBytes 95.0 Mbits/sec

Kako namestiti in nastaviti syslog strežnik (Ubuntu)?

Syslog strežnik lahko sprejema logging informacije iz različnih naprav (usmerjevalnik, požarni zid, stikalo, brezžična točka, itd). Ker imamo vse informacije zbrane na enem mestu, lahko pregledujemo informacije v primeru napak. S temi informacijami lažje najdemo, kaj je šlo narobe. Zelo pomembno je, da sta čas na syslog strežniku in na drugug napravah sinhonizirana, drugače nam te podatki nič ne pomagajo.

Namesti syslog datoteke:

$ sudo apt-get install sysklogd

Ob namestitivi se syslog deamon omogoči. S spodnjim ukazom ga začasno onemogočimo:
$ sudo /etc/init.d/sysklogd stop

Po uspešnem omogočanju deamona je potreno narediti nekaj sprememb. Prva je na nastavitveni sysklog datoteki. Uporabi svoj najljubši tekstovni urejevalnik besedil in uredi datoteko sysklogd za naslednjim ukazom
$ sudo nano /etc/default/syslogd

spremeni vrstico
SYSLOGD=""

v
SYSLOGD="-ru syslog"

Ponovno je potrebno zagnati deamon. To naredimo z naslednjim ukazom:
$ sudo /etc/init.d/sysklogd start

Prevriti je potrebno, če syslog strežnik deluje. Potrebno je prevriti če je odprt TCP port 514.
$ netstat -a | grep 514

Izpis na ekranu izgleda približno takole:
udp 0 0 0.0.0.0:514 0.0.0.0:*

S tem smo namestili syslog strežnik.

Primeri uporabe ukaza tcpdump

Primer zajetja TFTP prometa (TFTP server):
# tcpdump ‘port 69’

Primer zajetja DHCP prometa (DHCP server):
# tcpdump -i -n port 67 or port 68

Primer zajetja vsega prometa razen SSH (22) in Telent (23) prometa:
# tcpdump not port 22,23

Zajetje vsega ARP prometa:
# tcpdump -l -n arp

Zajetje vsega ICMP prometa:
# tcpdump icmp

Zajetje ICMP odgovorov (icmp-echo):
# tcpdump 'icmp[icmptype] = icmp-echo'

Primer zajetja prometa z osnovnimi informacijami:
# tcpdump -nS

Primer zajetja prometa z osnovnimi informacijami:
# tcpdump -nS

Primer zajetja prometa z globjim pogledemo:
# tcpdump -nnvvS

Primer zajetja prometa samo z znanim virom (src) ali znanio destinacijo (dst):
# tcpdump src 192.168.100.2

Primer zajetja prometa samo z znanim portom (src or dst) in po tipu prometa:
# tcpdump port 5900
# tcpdump src port 5900
# tcpdump dst port 5900
# tcpdump dst port 5900 and tcp
# tcpdump udp and src port 22

Primer zajetja broadcast ali multicast prometa:
# tcpdump -n broadcast
# tcpdump -n multicast

Primer zajetja ICMP ali ARP prometa:
# tcpdump -v “icmp or arp”

Več na naslednjem naslovu: tcpdump for Dummies ali tu.

Kako nadgraditi Ubuntu iz opravilne vrstice?

Nadgradnje sistema so nujno zlo. Pri Ubuntu operacijskem sistemu je nadgradnja dokaj enostavna. Imamo možnost nadgradnje v grafičnem okolju ali v ukazni vrstici. Ker strežniški sistemi ponavadi nimajo grafičnega vmesnika, je potrebno nadgradnjo narediti preko ukazne vrstice. To se naredi na naslednji način:

#sudo apt-get update && apt-get upgrade
#sudo do-release upgrade -d

Sledite ukazom na zaslonu in na koncu naredite ponovni zagon sistema.

Kako namestiti Vmware tools v ubuntu?

Namestitev vmware orodij v virtualno okolje je nujno potrebno. Orodja obstajajo tako za Windows kot linux operacijske sisteme. Namestitev na Ubuntu izgleda takole:

#sudo mkdir /mnt/cdrom
#sudo mount /dev/cdrom /mnt/cdrom
#tar xzvf /mnt/cdrom/VMwareTools-x.x.x-xxxx.tar.gz -C /tmp/
Opozorilo: x.x.x-xxxx pomeni različno glede na verzijo orodij

#cd /tmp/vmware-tools-distrib/
#sudo ./vmware-install.pl -d
Opozorilo: -d stikalo pomeni, da bodo uporabljene privzete nastavitve


Po koncu namestitve je priporočljivo narediti ponovni zagon.

Kako narediti tunel za različne servise preko SSH protokola?

Vedno se sprašujemo, kako varno prihajati do servisov v lastnem omrežju, ko gostujemo v tujem omrežju. Imamo vel možnosti in ena od teh je uporaba SSH tunela, v katerega skrijemo promet, ki ga želimo doseči z SSH klientom. Primer omrežja je na spodnji sliki. Naredili bomo tunel med SSH klientom, ki je nekje na internetu in SSH serverjem, ki postavljen nekje za požarnim zidom.

Screen Shot 2016-04-13 at 17.49.21

Sintaksa kreiranja SSH tunela na SSH klientu izgleda takole:

ssh uporabnisko_ime@ip_naslov -L lokalni_port:oddaljen_ip_naslov:oddaljen_port

Primeri različnih servisov, ki jih lahko dostopamo preko take povezave (linux/unix ukazna vrstica):

AFP protokol:
ssh user@10.0.0.10 -L 3000:10.0.10.10:548

VNC:
ssh user@10.0.0.10 -L 5900:10.0.10.11:5900

RDP:
ssh user@10.0.0.10 -L 3389:10.0.10.12:3389

Printer:
ssh user@10.0.0.10 -L 9100:10.0.10.13:9100

Vse servise, ki jih želimo dostopati, lahko uporabimo naenkrat. Primer:

ssh user@10.0.0.10 -L 3000:10.0.10.10:548 -L 5900:10.0.10.11:5900 -L 3389:10.0.10.12:3389 9100:10.0.10.13:9100

SSH client je lahko tudi nameščen na Windows okolju. Najbolj znana sta putty in SecureCRT.
Primerov uporabe le tega je mnogo na internetu.
Primer.

Kako narediti statično pot (static route)?

Sintaksa dodajanja statične poti (linux) vključno z privzeto (default) potjo

route add [-net|-host] netmask gw
route add default gw {IP-ADDRESS} {INTERFACE-NAME}

Primer statične poti in privzete (default) poti

route add -net 10.0.0.0 netmask 255.0.0.0 gw 192.168.100.1
route add default gw 192.168.100.1 eth0

Sintaksa odstranjevnja statične poti:

route del -net [-net|-host] netmask gw

Primer odstranitve statične poti:

route del -net 10.0.0.0 netmask 255.0.0.0 gw 192.168.100.1

Kako spremeniti MAC naslov na omrežnem vmesniku (brezžični ali žični)?

Mac naslov je enoznačna označba mrežnega naslova na drugem nivoju OSI standarda. Le ta mora biti v tem drugem nivoju unikaten. Včasih se zgodi, da potrebujemo spremeniti mac naslov na omrežnem vmesniku.

Prvo preverimo kakšen imamo vgrajen mac naslov:
#ifconfig en0 | grep ether

Izpis bo nekaj podobnega:
ether 00:26:bb:69:ad:20

V drugem koraku pripravimo mac naslov. Lahko si ga izmislimo ali pa naključno zgeneriramo. Za naključni mac naslov lahko uporabimo naslednji ukaz:
#openssl rand -hex 6 | sed 's/\(..\)/\1:/g; s/.$//'

Rezultat bo izgedal nekako takole:
77:bf:60:64:0d:aa

Ko imamo pripravljen mac naslov, ga moramo samo še pripeti na omrežni vmesnik.
#sudo ifconfig en0 ether 77:bf:60:64:0d:aa

Preverimo, ali smo spremenili mac naslov na omrežnem vmesniku.
#ifconfig en0 | grep ether

Izpisati mora:
77:bf:60:64:0d:aa

Kako narediti rezdelek aktiven (različni mediji)?

S pomočjo programa fdisk v tekstoven načinu lahko označimo, kateri radelek na zunanji napravi bo aktiven in pripravljen za zagon osebnega rečunalnika.

Postopek na Apple operacijskem sistemu je nasledne:

Vstavite zunanjo napravo (USB ključek)
Preverimo, katero oznako je dobila zunanja naprava

prompt$ df
Filesystem 512-blocks Used Available Capacity iused ifree %iused Mounted on
/dev/disk1 487638024 169584264 317541760 35% 21262031 39692720 35% /
devfs 378 378 0 100% 654 0 100% /dev
map -hosts 0 0 0 100% 0 0 100% /net
map auto_home 0 0 0 100% 0 0 100% /home
/dev/disk3s1 1992872 1946848 46024 98% 0 0 100% /Volumes/

Vpišemo naslednji ukaz, da zaćnemo spremeinjati lastosti zunanje naprave.

fdisk -e /dev/rdisk3

Preverimo kateri razdelki so na voljo:

fdisk: 1> p
Disk: /dev/disk3 geometry: 991/32/63 [1998848 sectors]
Offset: 0 Signature: 0xAA55
Starting Ending

#: id cyl hd sec - cyl hd sec [ start - size]
------------------------------------------------------------------------

1: 0B 1 1 36 - 1023 31 61 [ 2048 - 1996800] Win95 FAT-32
2: 00 0 0 0 - 0 0 0 [ 0 - 0] unused
3: 00 0 0 0 - 0 0 0 [ 0 - 0] unused
4: 00 0 0 0 - 0 0 0 [ 0 - 0] unused


Prvi razdelek na zunanji napravi naj bo aktive in pripravljen za zagon.

fdisk: 1> f 1

6. Še enkrat preverimo razdelke z že opisanim ukazom:

fdisk: 1> p
Disk: /dev/disk3 geometry: 991/32/63 [1998848 sectors]
Offset: 0 Signature: 0xAA55
Starting Ending
#: id cyl hd sec - cyl hd sec [ start - size]
------------------------------------------------------------------------

*1: 0B 1 1 36 - 1023 31 61 [ 2048 - 1996800] Win95 FAT-32
2: 00 0 0 0 - 0 0 0 [ 0 - 0] unused
3: 00 0 0 0 - 0 0 0 [ 0 - 0] unused
4: 00 0 0 0 - 0 0 0 [ 0 - 0] unused

Zapišemo spremembe

fdisk: 1> w
fdisk: 1> exit

S tem smo naredili zunanjo napravo aktivno.

SSH prijava brez gesla na oddaljen strežnik

Ob prijavljanju na oddaljene naprave preko SSH protokola, te ponavadi zahtevajo ob uporabniškem imenu tudi geslo. To zna včasih biti zamudno, zato obstaja tudi boljša pot za prijavo na oddaljeni sistem, a kljub temu ne zmanjšamo varnosti povezave. Uporabili bomo način osebnih in javnih ključev. Tak način prijave lahko uporabimo na vseh unix, linux in osx sistemih.

Prvo moramo narediti osebni in javni ključ. To naredimo z naslednjim ukazom:

#ssh-keygen

Ob tem se osebni in javni ključ pojavita v mapi ~/.ssh/ kot datoteki id_rsa (osebni ključ) in id_rsa.pub (javni ključi).

Zaradi varnosti morate id_rsa ključ paziti, da vam ga kdo ne ukrade, ker z njim ima soatop do oddaljenega sistema.

Na oddaljeni sistem moramo prenesti javni ključ in to naredimo na naslednji način:

#scp .ssh/id_rsa user@ip_naslov:~/.ssh/authorized_keys

ali

#cat ~/.ssh/id_dsa.pub | ssh user@remotehost 'cat >> ~/.ssh/authorized_keys'

Sedaj smo prenesli javni ključ na oddaljen sistem. Z naslednjim ukazom preverimo če zadeva deluje. Predno končamo moram povdariti, da se z uporabnikom root ne prijavljamo na oddaljen sistem in le tega na oddaljenem sistemu ne dovolimo.

#ssh user@ip_naslov

Uporaba pretvornika (USB to serial), za upravljanje Cisco naprav

Za administracijo in upravljanje določenih naprav (cisco, etc) potrebujemo serijski vmesnik. Današnje naprave tega nimajo več (prav tako apple naprave - Macbook/Pro/Pro Retina). Za rešitev potrebujemo USB to serial pretvornik. Potrebno je najti USB to serial pretvornik, ki je kompatibilen z osx operacisjkim sistemom (obstaja gonilnik). Po namestitvi gonilnika in priključitvi pretvornika naredimo naslednje:

ls -al /dev/tty.*
crw-rw-rw- 1 root wheel 19, 0 Jun 1 09:19 /dev/tty.Bluetooth-Incoming-Port
crw-rw-rw- 1 root wheel 19, 2 Jun 1 09:19 /dev/tty.Bluetooth-Modem
crw-rw-rw- 1 root wheel 19, 2 Jun 1 09:19 /dev/tty.PL2303-0000103D


S pomočjo le tega smo ugotovili, kateri gonilnik je uporabil naš pretvornik. Z anslednjim ukazom se preključimo na pretvornik, ki je sedaj povezan na napravo, ki jo želimo upiravljati (9600 Baudrate).

screen /dev/tty.PL2303-0000103D 9600

Delo z napravami se predlaga vgrajeni Terminal ali iTerm2 (brezplačni dodatek). Obstajajo tudi plačljive alternative.

Včasih potrebujemo tudi poslati kakšne posebne ukaze preko pretvornika na upravljano napravo. Nekaj le teh je naštetih:

Poslati BREAK ukaz - CTRL-A CTRL-B

Kako preveriti kateri programi so odprli povezave proti omrežju?

Za to opravilo uporabimo ukaz “lsof” List Open Files). S pomočjo “-i” možnosti lahko prikažemo vse odprte povezave in programsko opremi, ki uporablja te povezave.

Odpremo terminal in v ukazno vrstico napišemo naslednji ukaz.
lsof -i | grep ESTABLISHED

Izpis ukaza nam vne nekaj podobnega:
1Password 316 marjan 7u IPv4 0x2903b4248a256d99 0t0 TCP localhost:6258->localhost:49261 (ESTABLISHED)

Kako spremeniti velikost MTU iz ukazne vrstice?

Prvo preverimo privzeto MTU nastavitev (1500 Bytes). Odpremo terminal in v ukazno vrstico napišemo naslednji ukaz.
#networksetup -getMTU

Če želimo spremeniti velikost MTU nastavitve na prvem vmesniku (en0) moramo narediti naslednje.
#networksetup -setMTU en0 1452

Ubuntu ne razreši DNS povpraševanja za .local domene

Zadnje dni sem se ukvarjal s problematiko, da ubuntu klienti, nočejo razrešiti .local domen. Ugotovil sem, da je problem v Avahi servisu. Če želimo uporabljati lastno .local domeno in želimo imeti ubuntu kliente moramo narediti naslednje.

Editiramo avahi-deamon nastavitveno datoteko:

sudo nano /etc/avahi/avahi-daemon.conf

in spremenimo nastavitev

[server]
#domain-name=local


v

[server]
domain-name=.alocal


Preden poskusimo še enkrat, moramo še ponvno zagnati Avahi service

sudo service avahi-daemon restart

Sedaj deluje tudi razreševanje imen, ki se nahajajo v .local domeni.

Kako obnoviti geslo na Cisco 3650 in 3850 stikalih?

Cisco je spremenil način obnovitve gesel na Cisco Catalyst stikalih serije 3650 in 3850. Postopek je podpoben kot na usmerjevalnikih, kjer moramo spremeniti register.

Postopek poteka po teh koraki.
1. Prvo je potrebno spraviti stikalo v "recovery mode". Stikalo prižgemo in ob tem držimo MODE gumb. Držimo ga toliko časa dokler se LED lučka ne obarva zeleno (ne sme utripati).

2. Potrebno je omogočiti vpogled v FLASH disk. Vpišemo nalednje
switch: flash_init

3. Vpišemo naslednji ukaz, ki prepreči stikalu zagon nastavitev.
switch: SWITCH_IGNORE_STARTUP_CFG=1

4. Vpišemo naslednji ukaz, da zaženemo stikalo.
switch: boot flash:packages.conf

5. Ko se stikalo zažene, odidemo v enable mode in naložimo konfiguracijo, spremenimo geslo in posnamemo spremembe in ponoven zagon stikala.
switch>enable
switch#copy startup running
switch#conf term
switch#(config)#enable secret "password"
switch(config)#exit
switch#write memory
switch#reload


6. Ponovno zaženemo stikalo v "recovery mode" in spremenimo nastavitev nazaj na prvotno in ponovno zaženemo stikalo.
switch: SWITCH_IGNORE_STARTUP_CFG=0

Več tu:
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3650/software/release/3se/system_management/configuration_guide/b_sm_3se_3650_cg.pdf

Bind DNS strežnik in povezave

Kako nastaviti Bind DNS strežnik kot caching ali forwarding DNS strežnik?
Kako nastviti DHCP strežnik, da dinamično posodablja DNS strežnik?
Bind DNS strežnik za mala podjetja?

Kako narediti kopijo ISO slike na USB ključ?

V program Terminal najprej pregledamo diske, ki so na voljo:

# diskutil list

/dev/disk0
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *1.0 TB disk0
1: EFI 209.7 MB disk0s1
2: Apple_HFS Macintosh HD 999.9 GB disk0s2
/dev/disk1
#: TYPE NAME SIZE IDENTIFIER
0: FDisk_partition_scheme *4.1 GB disk1
1: DOS_FAT_32 TRAVEL 4.1 GB disk1s1



Ko ugotovimo kateri disk bomo uporabili, ga odmapiramo ( v našem primeru disk1):

# diskutil unmountDisk /dev/disk1

Ko smo disk odmapirali, je potrbno uporabiti program "dd” za kopiranje ISO silk na USB ključek (disk1 v name primeru). Ne pozabiti definirati velikost bloka.

# dd if="ISOimage" of=/dev/disk1 bs=1m

ali

# dd if="ISOimage" of=/dev/disk1 bs=1024K