skip to Main Content

tacacs+ ayarları – alcatel omniswitch

ağınızda yer alan cihazlarınıza kullanıcı denetimleri yapmanın yararlı ve zorunlu olduğu durumlarda bu işteki en kolay yöntem cihaz üzerinde AAA modunu aktif ederek basit bir tacacs+ sunucu kurmak ve ayarları buna göre yapılandırmak diyebiliriz.

Linux ve windoz için ücretsiz bir çok tacacs+ sunucu bulabilirsiniz. benim önerebileceklerim linux için : http://www.shrubbery.net/tac_plus/ ve windoz için : http://http://www.tacacs.net/ şeklinde.

sunucu tarafının halledildiğini düşünerek cihazlarımızda yapacağımız konfigürasyona değinelim. bu yazıda örnek olarak alcatel in omniswitch serisi için gerekli konfigürasyona değineceğiz. öncelikle hangi servisleri kullanacağımıza karar vermeliyiz. eğer telnet, ftp v.b. bir kısıtlama yapmayacaksak tüm servise aktif edebiliriz.

-> ip service all

ancak bu bir güvenlik açığı doğurabilecektir. bu yüzden sadece kullanacağınız servisleri aktif edin diğer servisleri pasif hale getirin. aşağıdaki komut kullanımlarını görebilirsiniz.

-> ip service ssh snmp
-> no ip service ftp telnet http
-> no ip service all

bundan sonra AAA için gerekli servis tanımlarının yapılması ve hangi servislere hangi metodun uygulanacağı belirlemek var. öncelikli olarak tacacs+ sunucu ayalarını girelim. burada dikkat etmemiz gereken sunucu tarafına uygun şekilde gerekli yapılandırmasını yapmak.

Tacacs sunucularımız
tacacs server ip : 10.10.10.49 port : 49 key : sUnUcU10.49
tacacs server ip : 10.10.11.49 port : 49 key : sUnUcU11.49
şeklinde yapılandırılmış olsun.

-> aaa tacacs+-server “tacacs_sunucu_a” host 10.10.10.49 key “sUnUcU10.49” port 49 timeout 10
-> aaa tacacs+-server “tacacs_sunucu_b” host 10.10.11.49 key “sUnUcU11.49” port 49 timeout 10

yukarıdaki şekilde tacacs_sunucu_a ve tacacs_sunucu_b şeklinde suncu tanımlarını yapmış olduk. şimdi kullanıma sunacağımız servisler için gerekli tanımlamaları girelim

-> aaa authentication default “tacacs_sunucu_a” “tacacs_sunucu_b” “local”
-> aaa authentication console “tacacs_sunucu_a” “tacacs_sunucu_b” “local”
-> aaa authentication ssh “tacacs_sunucu_a” “tacacs_sunucu_b” “local”

alcatel 7×50 konsol kablosu

Alcatel 7×50 sitemler için kullanılacak konsol kablosunun aşağıdaki yapıya uygun olması gerekmektedir.

DB9 Female DB9 Female
Pin 1 (DCD) Pin 4 (DTR)
Pin 2 (RXD) Pin 3 (TXD)
Pin 3 (TXD) Pin 2 (RXD)
Pin 4 (DTR) Pin 1 (DCD) + Pin 6 (DSR)
Pin 5 (Signal Ground) Pin 5 (Signal Ground)
Pin 6 (DSR) Pin 4 (DTR)
Pin 7 (RTS) Pin 8 (CTS)
Pin 8 (CTS) Pin 7 (RTS)
Pin 9

 

port serial
baud rate 115200
data bits 8
parity none
stop bits 1
flow control none

alcatel switchlerde logların listelenmesi

alcatel switchler üzerinde flashta tutulan logları görebilmek için

show log swlog
show log swlog [session session_id] [timestamp start_time [end_time]] [appid appid] [level level]

komutu kullanılmaktadır. komut yapısında kullanılan parametreler ise aşağıdaki belirtildiği şekilde olmalıdır. burada tutulacak kayıt uzunluğu vb ayarlanabilmektedir. bir başka gönderide onlarada değinebiliriz.

tarih yapısı : mm/dd/yyyy hh:mm formatında .

appid için aşagıdaki tablodaki id numarası ve/veya uygulama adı

802.1q - 7		ip - 15			qdispatcher - 3
aaa - 20		ipc-diag - 1		qdriver - 2
amap - 18		ip-helper - 22		qos - 13
bridge - 10		ipc-link - 4		rmon - 79
chassis - 64		ipc-mon - 21		rsvp - 14
cli - 67		ipms - 17		session - 71
config - 66		ipx - 16		slb - 25
dbggw - 89		ldap - 86		smni - 83
diag - 0		linkagg - 12		snmp - 68
distrib - 84		mipgw - 70		ssl - 88
drc - 74		module - 24		stp - 11
eipc - 26		nan-driver - 78		system - 75
epilogue - 85		ni-supervision - 5	telnet - 80
ftp - 82		nosnmp - 87		trap - 72
gmap - 19		pmm - 23		vlan - 8
health - 76		policy - 73		vrrp - 77
idle - 255		port-mgr - 64		web - 69
interface - 6		psm - 81		

level : logun öncelik düzeyi ile ilgili olarak aşağıdaki bilgiler kullanılır

Supported	Numeric		Equivalents
Levels		Description	 

alarm		2		Highest severity. The system is about to crash and reboot.
error		3		System functionality is reduced.
alert		4		A violation has occurred.
warning		5		A unexpected, non-critical event has occurred.
info		6		Any other non-debug message (default).
debug1		7		A normal event debug message.
debug2		8		A debug-specific message.
debug3		9		Lowest severity. A maximum verbosity debug message.

örnek bir çıktı ise aşağıdaki gibidir.

alc_6850_switch-> show log swlog appid interface 
Displaying file contents for '/flash/swlog1.log'
FILEID: fileName[/flash/swlog1.log], endPtr[63857],  configSize[64000], mode[2]
Time Stamp               Application    Level   Log Message
------------------------+--------------+-------+--------------------------------
FRI FEB 15 10:57:58 2013      INTERFACE    info Got connection from slot 1:23 
FRI FEB 15 10:57:58 2013      INTERFACE    info Got connection from slot 1:24 
FRI FEB 15 10:58:24 2013      INTERFACE    info  ## TX NI-ST Sl 1 ESMmsk    1 STKmsk    1 ##
FRI FEB 15 10:58:32 2013      INTERFACE    info RX CS_NI_READY NI 1 
FRI FEB 15 10:58:32 2013      INTERFACE    info  NIs are ready 
Displaying file contents for '/flash/swlog2.log'
FILEID: fileName[/flash/swlog2.log], endPtr[33894],  configSize[64000], mode[1]
Time Stamp               Application    Level   Log Message
------------------------+--------------+-------+--------------------------------
SUN MAY 26 10:56:18 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=3, crossed DDM threshold high alarm
THU MAY 30 12:26:32 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=3, crossed DDM threshold high alarm
MON JUN 10 06:30:05 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=3, crossed DDM threshold high alarm
MON JUN 10 16:29:45 2013      INTERFACE warning SFP/XFP Rx Power=-30.969 dBm on slot=1 port=6, crossed DDM threshold low alarm
MON JUN 10 17:05:29 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=3, crossed DDM threshold high alarm
MON JUN 10 22:51:47 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=5, crossed DDM threshold high alarm
MON JUN 10 22:51:49 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=3, crossed DDM threshold high alarm
MON JUN 10 22:51:50 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=4, crossed DDM threshold high alarm
MON JUN 10 22:56:55 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=5, crossed DDM threshold high alarm
MON JUN 10 22:56:57 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=4, crossed DDM threshold high alarm
MON JUN 10 22:56:58 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=3, crossed DDM threshold high alarm
WED JUN 12 21:01:07 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=8, crossed DDM threshold high alarm
WED JUN 12 21:01:10 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=10, crossed DDM threshold high alarm
WED JUN 12 21:06:16 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=8, crossed DDM threshold high alarm
WED JUN 12 21:06:18 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=10, crossed DDM threshold high alarm
FRI JUN 14 03:43:27 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=11, crossed DDM threshold high alarm
FRI JUN 14 03:48:37 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=11, crossed DDM threshold high alarm
FRI JUN 14 05:48:17 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=11, crossed DDM threshold high alarm
FRI JUN 14 05:54:11 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=10, crossed DDM threshold high alarm
TUE JUN 18 04:13:35 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=9, crossed DDM threshold high alarm
TUE JUN 18 04:18:43 2013      INTERFACE warning SFP/XFP Rx Power=0.000 dBm on slot=1 port=9, crossed DDM threshold high alarm

alcatel omniswitch

Alcatel firmasının piyasada uygun fiyatı ile dikkat çeken omni serisi switchleri oldukça kullanışlı ve bir çok küçük – orta işletmenin ihtiyaçlarını karşılayacak düzeydedir. Bu yazıda Metro Ethernet hizmetini satın aldığımız zaman sonlandırma elemanı olarak kullanılabilecek en uygun seri olan 6400 seri switchler hakkında bir kaç temel bilgi olacak.

Chassis 10/100/1000

or Gig

Combo

Port*

10 Gig

Stacking Ports

10 Gig

Uplinks

Power Supplies

Supported

Backup power
supplies supported
Non-PoE Models
OS6400-24 20 10/100/1000 4 2 Internal AC supply External AC or DC
OS6400-48 44 10/100/1000 4 2 Internal AC supply External AC or DC
OS6400-U24 22 Gig SFP ** 2 2 Internal AC supply External AC or DC
OS6400-U24D 22 Gig SFP ** 2 2 Internal DC supply External AC or DC
PoE Models
OS6400-P24 20 10/100/1000 4 2 360WAC or 510WAC 360W AC or 510W AC
OS6400-P48 44 10/100/1000 4 2 360WAC or 510WAC 360W AC or 510W AC

Yukarıdaki tabloda 6400 serisi cihazların temek özelliklerinin yer aldığı bir tablo yer almaktadır. PoE ihtiyacımıza veya ihtiyaç duyulan port sayısına göre uygun cihaz seçilebilir. Ancak unutulmaması gereken bir nokta var buda 6400 dan gelişmiş LAYER 3 özelliklerini beklememek olacaktır.  Eğer Layer 3 bir switch ihtiyacımız var ise 6850 serisi cihazlar incelenmelidir. Omni serisi switchlerin aşağıdaki tabloda genel karşılaştırması mevcuttur.

OmniStack 6200 OmniSwitch 6400 OmniSwitch 6850
Ports 12/24/48-port versions 24/48-port versions 24/48-port versions
Interfaces 10/1000 10/100/1000 10/100/1000
Uplinks GigE GigE 10 GigE
Stacking GigE 10 GigE 10 GigE
PoE Yes Yes Yes
Features L2 Switching L2+, Basic L3 Advanced L3

Cihaz elimize ulaştıktan sonra gerekli konfigurasyonu yapmak için konsol kablomuz ile swtich e bağlanalım. Pc tarafında yapılacak rs 232 port ayarları aşağıdaki şekilde olmalıdır.

Bit Hızı ““ – > 9600 bit/s
Data Bit ““ – > 8
Parite Bit ““ – > Yok
Durdurma Biti ““ – > 1
Akış Denetimi ““ – > Yok

Fabrika çıkış kullanıcı adı ve şifresi admin, switch şeklindedir.

Kullanıcı adı : admin
Şifre : switch

switch içerine girdikten sonra ayalarınızı konsol üzerinden yapmaya devam etmek istemiyebilirsiniz.

->  vlan 1 enable name “VLAN 1”
-> ip interface vlan_1_name address  172.2.120.1 vlan 1
-> aaa authentication http local
-> aaa authentication telnet local
-> aaa authentication ftp local

yukarıda şekilde vlan 1 oluşturup bir ip adresi verilmiş ve telnet, ftp ve web arayüzü lokalden erişilebilir duruma getirilmiştir.

-> write memory
-> copy working certified

ile yapmış olduğumuz değişiklikleri de kaydetmiş oluyoruz.

Şimdilik bu kadar…

alcatel omniswitch konsol ayarlarını değiştirmek

Bazı özel uygulamalarda temel konsol portu ayarları sorun yaratabilir. Bu durumlarda konsol port ayarlarımızı değiştirmek istersek

baud rate – > 9600
parity – > none
data bits (word size) – >  8
stop bits – >1
flow control – > none

ile konsol aracılığı ile bağlantı yapıyoruz.

-> modify boot parameters

den sonra

Boot > boot serialbaudrate 19200
Boot > boot serialparity even
Boot > boot serialwordsize 7
Boot > boot serialstopbits 2

gerekli değişikliği yaptıktan sonra kontrollerimizi yapalım

Boot > show
Edit buffer contents:
Serial (console) baud : 19200
Serial (console) parity : even
Serial (console) stopbits : 2
Serial (console) wordsize : 7

istenilen ayarları gördükten sonra

Boot > commit file
Boot > commit system

gerekli kayıt işlemini yapalım.

Boot > exit

ile boot arayüzünden çıkarız.

alcatel isam şifre

olurda bir gün alcatel 73xx isam ile ilgili konfigurasyon felan yapmak gerekirse konsol bağlantısını yaptısını yaptıktan sonra bağlantı şekli olarak CLI modu seçilir ve sonrasında kullanıcı adı ve şifresi olarak aşagıdakiler kullanılır.

kullanıcı adı : isadmin
şifre : ANY#150

Back To Top