Skip to content

alcatel sros cpm filter ile ip bloğuna ssh engeli

belirli bir ip bloğunu ssh erişimine kapatmak istersek bunu cpm-filter üzerinden yapabiliriz.

*A:alcatel_sros>config>sys>security# cpm-filter
*A:alcatel_sros>config>sys>security>cpm-filter# ip-filter
*A:alcatel_sros>config>sys>sec>cpm-filter>ip-filter# entry 10 create
*A:alcatel_sros>cfg>sys>sec>cpm>ip-filter>entry# action drop
*A:alcatel_sros>cfg>sys>sec>cpm>ip-filter>entry# match protocol tcp dst-port 22 65535
*A:alcatel_sros>cfg>sys>sec>cpm>ip-filter>entry# match src-ip 10.10.10.0/24	
*A:alcatel_sros>cfg>sys>sec>cpm>ip-filter>entry# exit
*A:alcatel_sros>cfg>sys>sec>cpm-filter>ip-filter# exit	

*A:alcatel_sros>config>sys>security>cpm-filter#info 
----------------------------------------------	
                    entry 10 create
                        action drop
                        match protocol tcp
                            dst-port 22 65535
                            src-ip 10.10.10.0/24
                        exit
                    exit
----------------------------------------------		

burada yapılan işlem 10 entry id ile bir filtre oluşturuldu. tcp protokolü üzerinden ssh in kullandığı 22. portu 10.10.10.0/24 bloguna kapatmak oldu. action satırında accept, drop, queue parametrelerine izin verilmektedir. match kısmının basit bir mantığı var. daha fazla detay için alcatelin sros dokümanlarına bakılmasında fayda var.

sros entry id sine göre kontrol yapılmaktadır. bu nedenle entrylerinizi sık sık güncellemek istemiyorsanız önceden bir plan oluşturmanızda fayda var.

biliyorsanız güzelde – görüyorsanız hiç hoş değil

   ___                    ___           ___           ___
  /\  \                  /\__\         /\  \         /\  \
  \:\  \        ___     /::|  |       /::\  \       /::\  \
   \:\  \      /\__\   /:|:|  |      /:/\:\  \     /:/\:\  \
   /::\  \    _\/__/  /:/|:|__|__   /:/  \:\  \   _\:\~\:\  \
  /:/\:\__\  /\__\   /:/ |::::\__\ /:/__/ \:\__\ /\ \:\ \:\__\
 /:/  \/__/ /:/  /   \/__/~~/:/  / \:\  \ /:/  / \:\ \:\ \/__/
/:/  /     /:/  /          /:/  /   \:\  /:/  /   \:\ \:\__\
\/__/      \/__/          /:/  /     \:\/:/  /     \:\/:/  /
                         /:/  /       \::/  /       \::/  /
                         \/__/         \/__/         \/__/

alcatel service router üzerinde ies servis tanımı

Alcatel servis routerlar üzerinde bir ies servisi tanımlama bir kaç aşamadan oluşmaktadır. Öncelikle tanımlama yapılacak servis için bir müşteri tanımlamasını yapalım.

confiure service customer 963 create
            description "ilk_ies_musterimiz"

bundan sonra servisin tanımlanacağı sap oluşturulmalıdır. bu örneğimizi  doğrudan alcatel service router üzerindeki fiziksel arayüzlerden birini kullanarak yapalım. aşağıdaki örnekte 1/1/6 GE portu seçilmiştir. Port öncelikle kapatılmıştır. ( portun ethernet modunu değiştirmek istiyorsak bu işlemi port kapalı iken yapmamız gerekmektedir. )

sonrasında servis standartlarımıza müşterinin isteğine göre gerekli port konfigürasyonumuzu yapıyoruz. port konfigürasyonla ilgili blog üzerinde eski konu başlıkları mevcuttur.

alcatel_sros#configure port 1/1/6 
alcatel_sros>config>port#shutdown
alcatel_sros>config>port#description "ilk_ies_musterimizin_fiziksel_arayuzu"
alcatel_sros>config>port#ethernet
alcatel_sros>config>port>ethernet#mode access
alcatel_sros>config>port>ethernet#encap-type dot1q
alcatel_sros>config>port>ethernet#no autonegotiate
alcatel_sros>config>port>ethernet#exit
alcatel_sros>config>port#no shutdown

alcatel_sros>config>port#info            
----------------------------------------------
        description "ilk_ies_musterimizin_fiziksel_arayuzu"
        ethernet
            mode access
            encap-type dot1q
            no autonegotiate
        exit
        no shutdown
----------------------------------------------

port konfigürasyonumuz ve müşteri tanımızımızda hazır hale geldi. şimdi ies tanımlarımızı yapabiliriz. bunun için kullanacağımız vlan ve ipyi belirtlemiş olmamız gerekmektedir. kullanacağımız yapı aşağıdaki şekilde olacaktır.

alcatel_sros# configure service ies ies_servisi_icin_id customer daha_once_olusturulmus_musteri_id create 
alcatel_sros>config>service>ies$ interface ies_servis_icin_interface_adi create 
alcatel_sros>config>service>ies>if$ address ip.adresi/subnet-mask
alcatel_sros>config>service>ies>if$ sap port-sap:vlan create 
alcatel_sros>config>service>ies>if>sap$ exit 
alcatel_sros>config>service>ies>if$ exit

şimdi değerleri yerine koyalım.

alcatel_sros# configure service ies 1234 customer 963 create 
alcatel_sros>config>service>ies$ interface ies_1234-963 create 
alcatel_sros>config>service>ies>if$ address 10.10.10.1/24 
alcatel_sros>config>service>ies>if$ sap 1/1/6:10 create 
alcatel_sros>config>service>ies>if>sap$ exit 
alcatel_sros>config>service>ies>if$ exit 

alcatel_sros>config>service>ies#info
----------------------------------------------	
            interface "ies_1234-963" create
                address 10.10.10.1/25
                sap 1/1/6:10 create
                exit
            exit
            no shutdown	
----------------------------------------------

alcatel omniswitch 64xx serisi switchleri fabrika ayarlarına getirmek

tün network ekipmanlarında olduğu gibi alcatel switchlerde de bir aktif çalışan konfigürasyon birde kaydedilmiş konfigürasyonu vardır.

Alcatelin 64xx serisi switchlerin üzerindeki RTOS un dosya sistemi yapısı gereği /working  klasöründe aktif konfigürasyonu içeren dosyalar  /certified klasöründe ise kaydedilmiş konfigürasyon dosyaları yer almaktadır.

POSIX uyumlu RTOS üzerinde alışık olduğunuz dosya sistemi komutlarını kullanabilirsiniz. ls komutu ile bu klasörler içindeki dosyaları inceleyebilirsiniz.

switchlerimizin konfigürasyonunu fabrika ayarlarınna döndürmek istiyorsak bu klasörler içerisinde yer alan boot.cfg dosyalarını silmemiz ve switchi yeniden başlatmamız gerekmektedir.

>delete /working/boot.cfg
>delete /certified /boot.cfg
>reload

 

 

alcatel 7750 lerde portun lldp konfigürasyonun incelenmesi

lldp prokolü aktif edilmiş bir ağda alcatel cihazlarda cli üzerinden lldp kontrolü aşağıdaki şekilde kontrol edilebilir.

*A:alc_7750_test# show port 3/2/12 ethernet lldp nearest-bridge remote-info detail
===============================================================================
Link Layer Discovery Protocol (LLDP) Port Information
===============================================================================
Port 3/2/12 Bridge nearest-bridge Remote Peer Information
——————————————————————————-
Remote Peer Index 3 at timestamp 12/26/2013 10:51:38:
Supported Caps : bridge router
Enabled Caps : bridge router
Chassis Id Subtype : 4 (macAddress)
Chassis Id : e8:e7:32:00:00:00
PortId Subtype : 7 (local)
Port Id : 1001
Port Description : Alcatel-Lucent 1/1
System Name : alc_6850_test
System Description : n/a

Remote Peer Index 3 management addresses at time 12/26/2013 10:51:38:
Address SubType : 1
Address : 192.168.1.82
Address If SubType : 2 Address If Id : 13604099
Address OID : n/a

——————————————————————————-
*A:alc_7750_test#

5620 SAM Client

Alcatel 5620 SAM clienti kurmanın-çalıştırmanın birden fazla yöntemi var. eğer sunucunuz standart konfigürasyonla kuruldu ise client dosyalarını sam sunucunuz dan edinebilirsiniz.

ssl kullanmıyorsanız :

http://<sam-sunucu-adresi>:8085/client ,

eğer ssl kullanıyorsanız

https://<sam-sunucu-adresi>:8444/client  

adresini tarayınızın adres çubuğuna yazın. karşınıza aşağıdaki şekilde bir sayfa açılacaktır. buradan install or launch linkine tıklayarak SAM clientini  yükleyebilirsiniz.

linux ve windoz işletim sisteminde çalışabilmektedir.

NN019881

sam çalıştıktan sonra sizi aşağıdaki ekran karşılayacaktır.

NN024077

 

linux işletim sisteminde de çalıştığı için ferhatcicek.com da kendin yer buldu 🙂

 

alcatel 7750 de system time ve sntp

bir sistem için senkronizasyon ve sistem saati oldukça önemlidir. bunun geliştirilmiş bir protokol mevcuttur. sntp protokolü ile ilgili olarak wikipedia da aşağıdaki açıklama yapılmış.

NTP Network Time Protocolün kısaltmasıdır. Türkçesi Ağ Zaman Protokolü’dür. NTP, değişken gecikmeye sahip paket anahtarlamalı ağlar üzerindeki bilgisayarların saatlerinin eş zamanlanmasının sağlanması için kullanılan bir protokoldür. Protokol, jitter buffer kullanımı sayesinde özellikle değişken gecikmenin etkilerine karşı dirençli olacak şekilde tasarımlanmıştır.
NTP, hala kullanılan en eski Internet protokollerinden biridir. (1985’den beri). İlk olarak gönüllü bir ekip ile bu konuda destek sağlamaya devam eden Delaware Üniversitesinden David L. Mills tarafından tasarımlanmıştır.
NTP, 123 no’lu port üzerinden, Kullanıcı Datagram Protokolü (UDP)’nü kullanır.

şimdi alcatel 7750 üzerinden sistem saatinin ayarlanması ve sntp nin nasıl yapılacağına bakalım.

SR#admin set-time 2013/10/16 11:26:00

ile sistem saatini ayarlayabiliyoruz. burada forma önemli dikkat edilmesi gerekli. sntp ayarlarını yapabilmemiz için erişimimizin olduğu öncelikli bir sntp server ihtiyacı mevcut. bu sunucuya ait ip nin 10.10.10.1 olduğunu varsayarak sntp ayarlarını aşağıdaki şekilde yapabiliriz.

SR#configure system time
SR>configure>sntp no shutdown

SR>configure>sntp server-address 10.10.10.1 preferred

Alcatel-Lucent 7450 Ethernet Service Switch (ESS) Media Dependent Adapter-XP (MDA-XP)

 

Maximum Ports per Alcatel -Lucent 7450 ESS Chassis
Part number  Part Image Part Name  Description ESS-1 ESS-6/6V ESS-7 ESS-12
3HE03616AA  20-port GigE MDA-XP 20-port 10/100/1000BASE-TX MDA-XP 7450 ESS 20-port 10/100/1000BASE Ethernet MDA-XP with RJ-45 connectors. 40 160 200 400
3HE03615AA  20-port GigE MDA-XP 20-port GigE MDA-XP 7450 ESS 20-port 1000BASE Ethernet MDA-XP. Accepts up to twenty (20) GigE-xx optical SFP modules. For 10/100/1000BASE-TX operation, GigE TX SFPs are supported. 40 160 200 400
3HE03614AA  10-port GigE MDA-XP 10-port GigE MDA-XP 7450 ESS 10-port 1000BASE Ethernet MDA-XP. Accepts up to ten (10) GigE-xx optical SFP modules. For 10/100/1000BASE-TX operation, GigE TX SFPs are supported. 20 80 100 200
3HE03688AA  4-port 10GigE MDA-XP 4-port 10GigE MDA-XP 7450 ESS 4-port 10GBASE oversubscribed Ethernet MDA-XP. Accepts up to four (4) XFP 10GigE optical modules and supports WAN/LAN PHY operation. 8 32 40 80
3HE03687AA  2-port 10GigE MDA-XP 2-port 10GigE MDA-XP 7450 ESS 2-port 10GBASE Ethernet MDA-XP. Accepts up to two (2) XFP 10GigE optical modules and supports WAN/LAN PHY operation. 4 16 20 40
3HE04273AA  1-port 10GigE MDA-XP 1-port 10GigE MDA-XP 7450 ESS 1-port 10GBASE Ethernet MDA-XP. Accepts one (1) XFP 10GigE optical module and supports WAN/LAN PHY operation. 2 8 10 20

alcatel-lucent sros konfigürasyon : port konfigürasyonu

7×50 cihazına lokal olarak konsoldan veya remote olarak telnet, ssh üzerinden bağlantımızı öncelikle gerçekleştirelim.

ALU-7450ESS#

ilerleyen örneklerimizde birden fazla router üzerinden işlem yapacağımızdan öncelikle router adını değiştirelim. bunun için “configure system name” komutunu kullanacağız.

ALU-7450ESS#config system name router_A
router_A#

konfigürasyon yapacağımız port 1/1/1 olsun. (tüm örneklerde hep bu port olur nedense 🙂 )

router_A#config port 1/1/1
router_A>config>port#description “to_router_B”   (port ne için kullandığımızı tanımlama alanına girebiliriz.)
router_A>config>port#ethernet (port tipi ethernet)
router_A>config>port>ethernet# mode access  (portun networkmu access mi olacağını belirtliyoruz )
router_A>config>port>ethernet# encap-type dot1q  (port üzerinde kullancağımız kapsülleme tipini seçiyoruz.  dot1q )
router_A>config>port>ethernet# mtu 9212 (portun fiziksel arayüzünün mtu değerini set ediyoruz)
router_A>config>port>ethernet# exit
router_A>config>port# no shutdown  ( portu aktif edebilmek için bu komutu kullanıyoruz)

şimdi konfigürasyonu yaptığımız portun özelliklerini bakalım. bunun için “show port” komutunu kullanıyoruz. aşağıdaki ekran çıktısında yukarda konfigürasyonda girdiğimiz kısımlar koyu renkli duruma getirilmiştir.

router_A# show port 1/1/1
=================================================
Ethernet Interface
=================================================
Description               :  to_router_B
Interface                   : 1/1/1                                           Oper Speed             : 1 Gbps
Link-level                 : Ethernet                                     Config Speed         : 1 Gbps
Admin State               : up                                                 Oper Duplex           : full
Oper State                 : up                                                 Config Duplex       : full
Physical Link           : Yes                                               MTU                           :  9212
IfIndex                       : 35684352                                     Hold time up         : 0 seconds
Last State Change   : 10/10/2013 21:23:47               Hold time down     : 0 seconds
Last Cleared Time   : N/A

Configured Mode       :  access                                       Encap Type             :  802.1q
Dot1Q Ethertype       : 0x8100                                         QinQ Ethertype     : 0x8100

bu çıktıda “Physical Link” portun fiziksel olarak up olduğunu yani lazer gelip gelmediğini göstermektedir. loop testleri sırasında bu alana bakmamız gerekmektedir.

 

alcatel 7353 isam reboot

neyin ne zaman lazım olacağı belli olmayabilir. alcatel 7353 isamı resetleme ihtiyacınız olursa aşağıdaki komut kullanılabilir.

login: isadmin
password: ********
Welcome to ISAM
leg:isadmin># admin equipment reboot-isam ?
with-self-test ! restart with selftest
without-self-test ! restart without selftest
leg:isadmin># admin equipment reboot-isam with-self-test

Back To Top