jueves, 31 de enero de 2013

Bootp entre Vlans


En mi empresa hemos comprado un nuevo software que entre otras cosas se encarga de la distribución e instalación automática de  programas, parches y drivers. Como cosa curiosa es capaz de planificarse a la hora que queramos, enciende el PC, instala todo el software validado y apaga el PC.


Para que esto funcione (encener un ordenador apagado) necesitamos utilizar el Bootp y está claro, una correcta configuración de los PCs.

Nos encontramos con el problema que cuando apagábamos los PCs y el switch eliminaba su cache arp, al cabo de unas horas (Cisco mantiene 4 horas cache arpe).  no había manera encender nuestros PCs mediante Bootp. Ya que perdíamos la asociación de Mac-address y puerto de Pc para poder enviar la orden.

Se nos ocurrio el siguiente comando:

arp Ip Mac_address ARPA

arp x.x.11.115 0025.64FF.FF00 ARPA


Con lo que conseguimos que se mantuviese en nuestra tabla actualizada de manera perpetua  con la mac-addres 0025.64FF.FF00. Pero no era una opción razonable para el nivel de Pc's que tenímos que hacer.

Así que seguimos la recomendación de Cisco para estos casos:
http://www.cisco.com/en/US/products/hw/switches/ps5023/products_configuration_example09186a008084b55c.shtml



Y aquí detallo como lo implantamos:

Disponemos de los siguientes datos:

- Servidor Wake On Lan (WOL): X.X.100.103 Donde tenemos el programa de distribución.

- Nuestro servidor DHCP, que está en nuestros Switches de Nivel 3 Cisco Catalyst 3750.


Tenemos configurado nuestro 3750 para que sea servidor de DHCP, reparte un rangos diferentes a cada vlan, en este ejemplo usaremos este par de rangos para explicar (X.X.10.0 y X.X.11.0)




Este ejemplo tendremos también las siguientes asociaciones:

- El rango X.X.10.0..255 lo tengo asociado a la Vlan A
- El rango X.X.11.0..255 lo tengo asociado a la Vlan B


Nuestra configuración de Vlans asociado a IP quedará de la siguiente manera:



Empezamos a hacer modificamos nuestro Cisco 3750:

- Creamos un ACL de seguridad para que no cualquier máquina pueda lanzar a traves de upd y puerto 7 esta petición, limitando en este caso a nuestro servidor de Parches.



El fabricante del programa nos informa que usará el puerto UPD 7, así que autorizaremos que únicamente pueda hacer uso de este servicio nuestro servidor X.X.100.103 y ninguna máquina más.

SW01(config)#access-list 101 permit udp host X.X.100.103 any eq 7
SW01(config)#ip forward-protocol udp 7


Como nuestro servidor DHCP es nuestro switch de Nivel 3 Cisco 3750,  y no una máquina Windows/linux nos ahorramos de poner la siguiente línea:



Ip helper-address  IP_Servidor_DHCP



Ahora debemos modificar la configuración de Nivel 3 en la Vlan que tenemos colocado el servidor WoL (el programa de distribución de parches), en nuestro caso está la Vlan 100. Informando de los rangos de Ip de daremos este servicio (Bootp).




Con lo que para autorizar este tráfico en nuestras diferentes VLans deberemos añadir los siguientes cambios:



Nuestra definición de Vlan quedaría (sho running config):






Para probarlo y he usado este pequeño programita "WakeOnLanGui.exe" y lo he parametrizado de la siguiente manera:





Ahora esta claro que dejará pasar todos los broadcast de su misma vlan y del servidor autorizado.

Puede que te interese también el artículo:
http://gonsystem.blogspot.com.es/2013/04/dell-kace-2000-option-66-y-67.html



GoN

miércoles, 30 de enero de 2013

Configuración incial router Cisco. 0x02142



Voy a explicar como volver a cargar la configuración de fábrica de alguno de nuestros routers, esto nos puede ser muy útil si se nos ha olvidado la contraseña.

Haremos la prueba con un router Cisco 1700 Series, un Cisco 1751.



Primero conectamos nuestro cable de consola  (http://gonsystem.blogspot.com.es/2012/10/conectar-cable-consola-switch-o-router.html) y luego lo encendemos.

Pulsamos las teclas Ctrol + Break, en nuestro teclado sería Ctrol + Pause, nada mas que arranque el router, veremos lo siguiente:



Cambiamos el valor del registro de la siguiente manera: "confreg 0x2142"



Hay que reiniciarlo"reset":



En el siguiente reinicio nos pedirá que lo configuremos:


Hay que acordarse salir guardando los nuevos cambios.

Para dejar el registro el valor por defeto es 0x2102, para esto hay que hacer

conf terminal
config-register 0x2102

y grabar:

copy running-config startup-config
reload


Si quieres asegurarte de ver los cambios del registro antes del "reload" puedes hacer un "sho ver"



GoN

martes, 29 de enero de 2013

Mensaje de entrada en un Switch Cisco. Banner



Hoy pondré algo muy sencillo pero que no hay que dejar de tener en cuenta, nunca está de más poner mensajes de advertencia para los acceso no autorizados a nuestros routers o switches.

Un mensaje estandar podría ser el siguiente:


Cuando queramos poner el mensaje, el comando "banner login" nos pide que pongamos un carácter para marcar el final de nuestro texto, yo he puesto el número "8" en el ejemplo.

A veces los puedes personalizar bastante, he encontrado una web que si le pasas una foto te la pasa a ASCII, la web es http://picascii.com/ 



Aquí os pongo un ejemplo de como he configurado un switch con un mensaje "personalizado":


configure terminal

banner login 8
                                                             
@@@@@@@@@@@@@@@@@@@@@@@@@#+;:,,,,,,,;'+@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@#@@#;,,,,,,,,,,,,,,,,,,,,,,:+@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@',,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,#@@@@@@@@@@@@@@@
@@@@@@@@@@@@@+,,,;#,,,,,,,,,,,@,,,@,,,,,,,,,,,#,,,,@@@@@@@@@@@@@
@@@@@@@@#@@;,,;@@@,,,,,,,,,,,'@@@@@,,,,,,,,,,,'@@#,,,#@@@@@@@@@@
@@@@@@#@@',.+@@@@@,,,,,,,,,,,@@@@@@,,,,,,,,,,,,@@@@@:,.@@@@@@@@@
@@@@@#@@,,+@@@@@@@.,,,,,,,,,,@@@@@@+,,,,,,,,,,+@@@@@@@,,:@@@@@@@
@@@@@@+,.@@@@@@@@@@,,,,,,,,,,@@@@@@@,,,,,,,,,,@@@@@@@@@#,,@@@@@@
@@@@@+,:@@@@@@@@@@@@.,,,,,,,#@@@@@@@,,,,,,,,;@@@@@@@@@@@@,,@@@@@
@@@@#,,@@@@@@@@@@@@@@@+:,,:+@@@@@@@@@;:,,;#@@@@@@@@@@@@@@@,,@@@@
@@@@,.@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@#,'@@@
@@@',#@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@,,@@@
@@@,,@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@#,#@@
@@@,,@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@,;@@
@@@,:@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@,:@@
@@@,.@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@,'@@
@@@,,@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@',@@@
@@@#,'@@@@@@@@@,,,,#@@@@;:+@@@@@@@@@@@':#@@@@',,,;@@@@@@@@@,,@@@
@@@@,,@@@@@@@@,,,,,,+@#,,,,,#@@@@@@@,,,,,.@@,,,,,,,@@@@@@@:,#@@@
@@@@@.,@@@@@@.,,,,,,,#,,,,,,,'@@@@@,,,,,,,#,,,,,,,,#@@@@@+,'@@@@
@@@@@@,,@@@@@,,,,,,,,,,,,,,,,,#@@@,,,,,,,,,,,,,,,,,:@@@@;,;@@@@@
@@@@@@@,,'@@@,,,,,,,,,,,,,,,,,,@@+,,,,,,,,,,,,,,,,,,@@@,,+@@@@@@
@@@@@@@@',,@@,,,,,,,,,,,,,,,,,,'@,,,,,,,,,,,,,,,,,,,@;,.@@@@@@@@
@@@@@@@@@@,,,,,,,,,,,,,,,,,,,,,,#,,,,,,,,,,,,,,,,,,:,,+@@@@@@@@@
@@@@@@@@@@@@:,,,,,,,,,,,,,,,,,,,:,,,,,,,,,,,,,,,,,,.+@@@@@@@@@@@
@@@@@@@@@@@@@@+,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,:@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@+,,,,,,,,,,,,,,,,,,,,,,,,,,,,;@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@#',,,,,,,,,,,,,,,,..:+@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@###@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@


-----------------------------------------------------------------

El acceso a este dispositivo es solo para usuarios autorizados, 
si usted no esta  expresamente autorizado, por favor desconectese
inmediatamente. Los accesos no autorizados es tan en contra de la
ley, y pueden estar sujetos a penas criminales o civiles.
Toda la actividad es registrada, si no esta de acuerdo desconectese inmediatamen te.
Para mas informacion, contacte a Info@test.es

===================================================================


Access to this device is only for authorized users, if you have not permissions please logout immediately, unauthotized is against law,and may be subject to civil or crimin al penalties.

All activity is being logged, if you do not aggree disconnect 
immediately.
For further information please contact info@test.es
--------------------------------------------------------------------8


El resultado seria:




GoN