alcatel sros cpm filter ile ip bloğuna ssh engeli

belirli bir ip bloğunu ssh erişimine kapatmak istersek bunu cpm-filter üzerinden yapabiliriz. 

*A:alcatel_sros>config>sys>security# cpm-filter
*A:alcatel_sros>config>sys>security>cpm-filter# ip-filter
*A:alcatel_sros>config>sys>sec>cpm-filter>ip-filter# entry 10 create
*A:alcatel_sros>cfg>sys>sec>cpm>ip-filter>entry# action drop
*A:alcatel_sros>cfg>sys>sec>cpm>ip-filter>entry# match protocol tcp dst-port 22 65535
*A:alcatel_sros>cfg>sys>sec>cpm>ip-filter>entry# match src-ip 10.10.10.0/24	
*A:alcatel_sros>cfg>sys>sec>cpm>ip-filter>entry# exit
*A:alcatel_sros>cfg>sys>sec>cpm-filter>ip-filter# exit	

*A:alcatel_sros>config>sys>security>cpm-filter#info 
----------------------------------------------	
                    entry 10 create
                        action drop
                        match protocol tcp
                            dst-port 22 65535
                            src-ip 10.10.10.0/24
                        exit
                    exit
----------------------------------------------

burada yapılan işlem 10 entry id ile bir filtre oluşturuldu. tcp protokolü üzerinden ssh in kullandığı 22. portu 10.10.10.0/24 bloguna kapatmak oldu. action satırında accept, drop, queue parametrelerine izin verilmektedir. match kısmının basit bir mantığı var. daha fazla detay için alcatelin sros dokümanlarına bakılmasında fayda var.

sros entry id sine göre kontrol yapılmaktadır. bu nedenle entrylerinizi sık sık güncellemek istemiyorsanız önceden bir plan oluşturmanızda fayda var.

biliyorsanız güzelde – görüyorsanız hiç hoş değil

   ___                    ___           ___           ___
  /\  \                  /\__\         /\  \         /\  \
  \:\  \        ___     /::|  |       /::\  \       /::\  \
   \:\  \      /\__\   /:|:|  |      /:/\:\  \     /:/\:\  \
   /::\  \    _\/__/  /:/|:|__|__   /:/  \:\  \   _\:\~\:\  \
  /:/\:\__\  /\__\   /:/ |::::\__\ /:/__/ \:\__\ /\ \:\ \:\__\
 /:/  \/__/ /:/  /   \/__/~~/:/  / \:\  \ /:/  / \:\ \:\ \/__/
/:/  /     /:/  /          /:/  /   \:\  /:/  /   \:\ \:\__\
\/__/      \/__/          /:/  /     \:\/:/  /     \:\/:/  /
                         /:/  /       \::/  /       \::/  /
                         \/__/         \/__/         \/__/

alcatel service router üzerinde ies servis tanımı

Alcatel servis routerlar üzerinde bir ies servisi tanımlama bir kaç aşamadan oluşmaktadır. Öncelikle tanımlama yapılacak servis için bir müşteri tanımlamasını yapalım.

confiure service customer 963 create
            description "ilk_ies_musterimiz"

bundan sonra servisin tanımlanacağı sap oluşturulmalıdır. bu örneğimizi  doğrudan alcatel service router üzerindeki fiziksel arayüzlerden birini kullanarak yapalım. aşağıdaki örnekte 1/1/6 GE portu seçilmiştir. Port öncelikle kapatılmıştır. ( portun ethernet modunu değiştirmek istiyorsak bu işlemi port kapalı iken yapmamız gerekmektedir. )

sonrasında servis standartlarımıza müşterinin isteğine göre gerekli port konfigürasyonumuzu yapıyoruz. port konfigürasyonla ilgili blog üzerinde eski konu başlıkları mevcuttur.

alcatel_sros#configure port 1/1/6 
alcatel_sros>config>port#shutdown
alcatel_sros>config>port#description "ilk_ies_musterimizin_fiziksel_arayuzu"
alcatel_sros>config>port#ethernet
alcatel_sros>config>port>ethernet#mode access
alcatel_sros>config>port>ethernet#encap-type dot1q
alcatel_sros>config>port>ethernet#no autonegotiate
alcatel_sros>config>port>ethernet#exit
alcatel_sros>config>port#no shutdown

alcatel_sros>config>port#info            
----------------------------------------------
        description "ilk_ies_musterimizin_fiziksel_arayuzu"
        ethernet
            mode access
            encap-type dot1q
            no autonegotiate
        exit
        no shutdown
----------------------------------------------

port konfigürasyonumuz ve müşteri tanımızımızda hazır hale geldi. şimdi ies tanımlarımızı yapabiliriz. bunun için kullanacağımız vlan ve ipyi belirtlemiş olmamız gerekmektedir. kullanacağımız yapı aşağıdaki şekilde olacaktır.

alcatel_sros# configure service ies ies_servisi_icin_id customer daha_once_olusturulmus_musteri_id create 
alcatel_sros>config>service>ies$ interface ies_servis_icin_interface_adi create 
alcatel_sros>config>service>ies>if$ address ip.adresi/subnet-mask
alcatel_sros>config>service>ies>if$ sap port-sap:vlan create 
alcatel_sros>config>service>ies>if>sap$ exit 
alcatel_sros>config>service>ies>if$ exit

şimdi değerleri yerine koyalım.

alcatel_sros# configure service ies 1234 customer 963 create 
alcatel_sros>config>service>ies$ interface ies_1234-963 create 
alcatel_sros>config>service>ies>if$ address 10.10.10.1/24 
alcatel_sros>config>service>ies>if$ sap 1/1/6:10 create 
alcatel_sros>config>service>ies>if>sap$ exit 
alcatel_sros>config>service>ies>if$ exit 

alcatel_sros>config>service>ies#info
----------------------------------------------	
            interface "ies_1234-963" create
                address 10.10.10.1/25
                sap 1/1/6:10 create
                exit
            exit
            no shutdown	
----------------------------------------------

alcatel omniswitch 64xx serisi switchleri fabrika ayarlarına getirmek

tün network ekipmanlarında olduğu gibi alcatel switchlerde de bir aktif çalışan konfigürasyon birde kaydedilmiş konfigürasyonu vardır.

Alcatelin 64xx serisi switchlerin üzerindeki RTOS un dosya sistemi yapısı gereği /working  klasöründe aktif konfigürasyonu içeren dosyalar  /certified klasöründe ise kaydedilmiş konfigürasyon dosyaları yer almaktadır.

POSIX uyumlu RTOS üzerinde alışık olduğunuz dosya sistemi komutlarını kullanabilirsiniz. ls komutu ile bu klasörler içindeki dosyaları inceleyebilirsiniz.

switchlerimizin konfigürasyonunu fabrika ayarlarınna döndürmek istiyorsak bu klasörler içerisinde yer alan boot.cfg dosyalarını silmemiz ve switchi yeniden başlatmamız gerekmektedir.

>delete /working/boot.cfg
>delete /certified /boot.cfg
>reload

 

 

huawei s5300 serisi switchlerde optik arayüzün değerleri

[huawei-s5300-GigabitEthernet0/0/5]display transceiver diagnosis interface GigabitEthernet 0/0/5
Port GigabitEthernet0/0/5 transceiver diagnostic information:
Parameter        Current     Low Alarm    High Alarm
  Type            Value      Threshold    Threshold    Status
-------------   ---------    ---------    ----------   --------
TxPower(dBm)    -5.92        -8.99        -2.99        normal
RxPower(dBm)    -4.74        -17.00       -5.00        abnormal
Current(mA)     13.27        1.00         50.00        normal
Temp.(C)        32.53        0.00         80.00        normal
Voltage(V)      3.31         3.10         3.50         normal

buradan görülebileceği gibi RX değerleri normal değerlerin üzerinde. Fiziksel kontrol gerekmektedir. En iyi olasılık optik zayıflatıcı kullanmak.

XFP – Pin Assignment and Pin Description

Host PCB XFP Pinout

Image: Host PCB XFP Pinout

XFP Transceiver Electrical Pad Layout

Image: XFP Transceiver Electrical Pad Layout

 

Pin# Name Logic Description Note
1 GND Module Ground 1
2 VEE5 -5.2V Power Supply , not in use 3
3 MOD_DESEL LVTTL-I Module De-select; When held Low allows module to respond to 2-wire serial interface
4 INTERRUPTb LVTTL-O Indicates presence of an important condition, which can be read over the 2-wire serial interface. This pin is an open collector output and must be pulled up to host_Vcc on the host board. 2
5 TX_DIS LVTTL-I Transmitter Disable; When asserted High, transmitter output is turned off. This pin is pulled up to VCC3 in the module
6 VCC5 +5V Power Supply, not in use 3
7 GND Module Ground 1
8 VCC3 +3.3V Power Supply
9 VCC3 +3.3V Power Supply
10 SCL I/O 2-wire serial interface clock. Host shall use a pull-up resistor connected to host_Vcc of +3.3V. 2
11 SDA I/O 2-wire serial interface data. Host shall use a pull-up resistor connected to host_Vcc of +3.3V. 2
12 MOD_ABS LVTTL-O Indicates Module is not present. Host shall pull up this pin, and grounded in the module. “High” when the XFP module is absent from a host board. 2
13 MOD_NR LVTTL-O Module not ready; When High, Indicates Module Operational Fault. This pin is an open collector and must be pulled to host_Vcc on the host board. 2,4,5
14 RX_LOS LVTTL-O Receiver Loss of Signal; When high, indicates insufficient optical input power to the module. This pin is an open collector and must be pulled to host_Vcc on the host board. 2
15 GND Module Ground
16 GND Module Ground
17 RDN CML-O Receiver Inverted Data Output; AC coupled inside the module.
18 RDP CML-O Receiver Non-Inverted Data Output; AC coupled in side the module.
19 GND Module Ground 1
20 VCC2 + 1.8V Power Supply; not in use 3
21 P_DOWN/RST LVTTL-I Power down; When High, module is limited power mode. Low for normal operation.

Reset; The falling edge indicates complete reset of the module. This pin is pulled up to VCC3 in the module.
22 VCC2 + 1.8V Power Supply; not in use 3
23 GND Module Ground 1
24 REFCLKP PECL-I Reference clock Non-Inverted Input; not in use
25 REFCLKN PECL-I Reference clock Inverted Input; not in use
26 GND Module Ground 1
27 GND Module Ground 1
28 TDN CML-I Transmitter Inverted Data Input; AC coupled in side the module.
29 TDP CML-I Transmitter Non-Inverted Data Input; AC coupled in side the module.
30 GND Module Ground 1

Note :

1: Module ground pins are isolated from the module case and chassis ground within the module.
2: Shall be pulled up with 4.7k to 10k ohm to a voltage between 3.15V and 3.45V on the host board.
3: Not connected internally.
4: Response time: typ. 20msec ( XFP MSA Rev. 4.5 = 1msec)
5: MOD_NR = (TX LOL) OR (RX LOL ).

huawei – ethernet ile bağlantı

huawei support sayfalarında huaweinin üretmiş olduğu huawei network access cihazlarında bulunan meth arayüzü için kullanılan ip adresinin 10.11.104.2 olduğu yazmakta. bu cihazlara bağlanabilmek için meth arayüzüne pc ile ethernet arayüzü ile bağlanarak bu ip adresine cihazda hangi protokol aktif ise (telnet veya ssh) bağlanabilirsiniz.

cihaz üzerindeki default konfigürasyon aşağıdaki gibidir.

interface meth0
ip address 10.11.104.2 255.255.255.0

default kullanıcı adı, şifresi root – mduadmin olarak geçiyor yine bu kaynaklarda.

$ telnet 10.11.104.2
Trying 10.11.104.2...
Connected to 10.11.104.2.
Escape character is '^]'.

>>User name:root
>>User password:mduadmin

Huawei Integrated Access Software (MA5616).
Copyright(C) Huawei Technologies Co., Ltd. 2002-2011. All rights reserved.

—————————————————————————–

 

cisco switch minimum konfigürasyon

bu örnekte cisconun 3700 serisi switchlerde temel konfigürasyonun nasıl yapılacağına bakacağız.

ağ topolojimizi planlarken ağımızda hangi vlanların kullanılacağını belirlediğimi varsayıyoruz. temel olarak ağ yapılandırmasında  grupları yönetim, data  ve voip olarak ayrılmasında fayda vardır.  

ağımızda 10 ve 20 data ve 30 ses için vlanlarını kullanacağımızı düşünerek gerekli vlan tanımlamalarını yapalım. cisco switch kullandığımızdan  ve ağımızın çok büyük olmayacağınızı düşünerek stp olarak pvst kullanalım.

spanning-tree mode pvst
spanning-tree extend system-id
spanning-tree vlan 1,10,20,30 priority 4096

vlan internal allocation policy ascending
!
vlan 10
name DATA
!
vlan 20
name DATA2
!
vlan 30
name VOIP

vlanlarımızı tanımladıktan sonra uplink için gerekli konfigürasyonumuzu girebiliriz.  bu örnekte switchimizde uplink portunu gi 1/0/1 olarak kullanacağız. port modunu trunk  ve encapsulation dot1q olarak tanımlayacağız.  eğer bu switchi dış dünyaya açılan noktanız da kullanacaksanız servis sağlayıcınızdan kullanmanız vlan bilgisini temin etmeniz gerekmektedir.

interface GigabitEthernet1/0/1
description *** uplink ***
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,10,20,30
switchport mode trunk

uplink tanımında dikkat edilmesi gereken iki nokta daha var. bunlardan bir tanesi auto negoation ve mtu değeridir. benim kullanmakta olduğum switch üzerinde 4 adet ge port mevcut. herhangi bir uplink koruması ve yedeklemesi yapmayacağımız için ilave bir konfigürasyon yapmamıza gerek yok. diğer üç port için konfigürasyon girmiyoruz. konfigürasyon dosyasında aşağıdaki şekilde görmemiz gerekmekte.

interface GigabitEthernet1/0/2
!
interface GigabitEthernet1/0/3
!
interface GigabitEthernet1/0/4

şimdi switchimiz için gerekli ip yapılandırmasını yapalım. elimizdeki bilgiler

default vlan : 1
ip : 10.1.1.10/24

şeklinde ise

ip subnet-zero
ip routing

interface Vlan1
ip address 10.1.1.10 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip http server

şimdi kullanacağımız fast ethernet portları içinde gerekli konfigürasyon tanımı yaparsak switchimiz kullanıma hazır hale gelecek. geriye switch erişimi v.b. konularda gerekli konfigürasyonlar kalacaktır. ağımızda kullanılacak voip telefonlarda ve pclerde sadece bir ethernet port var her kullanıcıya iki ethernet port verilmesi gerekmekte. bunun için switchimizin yarısını data yarısını ses için ayırıyoruz.

interface FastEthernet1/0/1
description *** A-data ***
switchport access vlan 10
switchport mode access

interface FastEthernet1/0/2
description *** A-voip ***
switchport access vlan 20
switchport mode access

bu tanımı her port için ayrı ayrı giriyoruz. switch kullanıma hazır. burada ses için gerekli vlan kısmını kullanmayarak bu switch metro ethernet hattımızda sonlandırma switchi olarak kullanabiliriz.

alcatel 7750 lerde portun lldp konfigürasyonun incelenmesi

lldp prokolü aktif edilmiş bir ağda alcatel cihazlarda cli üzerinden lldp kontrolü aşağıdaki şekilde kontrol edilebilir.

*A:alc_7750_test# show port 3/2/12 ethernet lldp nearest-bridge remote-info detail
===============================================================================
Link Layer Discovery Protocol (LLDP) Port Information
===============================================================================
Port 3/2/12 Bridge nearest-bridge Remote Peer Information
——————————————————————————-
Remote Peer Index 3 at timestamp 12/26/2013 10:51:38:
Supported Caps : bridge router
Enabled Caps : bridge router
Chassis Id Subtype : 4 (macAddress)
Chassis Id : e8:e7:32:00:00:00
PortId Subtype : 7 (local)
Port Id : 1001
Port Description : Alcatel-Lucent 1/1
System Name : alc_6850_test
System Description : n/a

Remote Peer Index 3 management addresses at time 12/26/2013 10:51:38:
Address SubType : 1
Address : 192.168.1.82
Address If SubType : 2 Address If Id : 13604099
Address OID : n/a

——————————————————————————-
*A:alc_7750_test#

huawei ne40e de uç cihaz kontrolü – lldp

lldp protokolü aktif edilmiş bir ağda ne40e cihazlarınız varsa  cli ortamında da gerekli kontrolleri yapabiliriz.

[huawe_ne40e_test]display lldp neighbor interface GigabitEthernet 2/0/11

GigabitEthernet2/0/11 has 1 neighbor:
Neighbor 1:
ChassisIdSubtype: macAddress
ChassisId: 0819-a600-0000   <porta bağlı cihazın mac adresi>
PortIdSubtype: interfaceName
PortId: GigabitEthernet0/0/21
PortDesc: HUAWEI, Quidway Series, GigabitEthernet0/0/21 Interface
SysName: huawei_s5300_test_switch  <porta bağlı cihazın sistem adi>
SysDesc: S5328C-EI-24S    <porta bağlı cihazın sistem açıklaması – cihaz modeli>
Huawei Versatile Routing Platform Software
VRP (R) software,Version 5.70 (S5300 V100R006C00SPC800)
Copyright (C) 2003-2011 Huawei Technologies Co., Ltd.
SysCapSupported: bridge
SysCapEnabled: bridge
Management address: ipV4: 192.168.1.222    <porta bağlı cihazın yönetim ip adresi>
Expired time: 96

[huawe_ne40e_test]
Back To Top