Het is altijd verstandig netwerk apparatuur via NTP de correcte tijd op te laten halen. In het geval van een switch kan je dan events achterhalen zonder te moeten gissen of 01/02/91 nu vandaag is of eergisteren (tip, je kan altijd de “uptime” van de switch gebruiken om ergens achter te komen). Maar het instellen hiervan is niet altijd even makkelijk. Bij deze een configuratie voorbeeld met uitleg voor een HP Switch.
Dit keer was ik met VLAN routeringen bezig, maar nu niet voor Swyx, Cisco of Avaya, maar Alcatel! En dat was het moment, misschien toch handig om direct een samenvatting te maken. De configuratie van de Alcatel kan je als volgt oproepen:
Tijdens het opstarten kies je voor “i #” oftewel, druk op “i” en dan op “#”.
Vervolgens kan je onder “IP-Param” allerlei gegevens instellen waaronder het IP adres.
Geen diepgaande verhalen of technische stukken dit keer. Maar een leuk filmpje wat DNS uitlegt. Wat doet het, hoe werkt het, en kort en bondig (6min.).
Wanneer je gebruik wil maken van Wireshark, of dergelijke “sniffing” tools, dient je client device wel al het verkeer te kunnen zien. Hiervoor kan je een hub plaatsen, maar moderner is op een layer 2 switch een “monitoring / mirror port” in te stellen. Nu heeft de Cisco ASA ook een interne switch, wanneer je dit hierop in wil stellen kan dit op de volgende manier:
Vandaag ben ik met “access-lists” bezig, vlan routering en het opzetten van de nieuwe vlans in kwestie. Op Cisco switches gaat dit net een stukje anders. De diepere details laat ik even weg maar kort door de bocht zijn hier de feiten:
Standard en Extended ACLs. Ze zijn er beiden. De verschillen:
Een Standard ACL beperkt zich tot alleen “Source-IP” ranges. Je kan een source-IP range opgeven om verkeer wel/niet toe te staan.
Een Extended ACL gaat verder. Veel verder, je kan een source en destination-IP range opgeven en op laag 4 acteren doormiddel van tcp/udp poorten mee te geven.
Extra info: de optie “IP” kan dus ook worden vervangen door b.v. ICMP
Extra info: de optie “deny ip any any” word bij HP standaard ingevoerd. Deze is dus niet noodzakelijk.
Extra info: de optie “in” aan het eind van een access-list betekend hoe deze toegepast dient te worden. Dit is vanuit de switch gezien. In onderstaand voorbeeld houd het in dat verkeer inkomend (vanaf de switch gezien) op vlan 100, deze rule toegepast word.
Hieronder kort de feiten ten behoeve van het configureren:
#Aanmaken van een access list
conf t
ip access-list extended thinclient
permit udp any any eq bootps
permit udp any any eq bootpc
permit tcp 192.168.100.0/24 192.168.144.0/22 eq 3389
permit tcp 192.168.100.0/24 192.168.144.0/22 eq 80
permit udp 192.168.100.0/24 192.168.144.0/22 eq 53
permit tcp 192.168.100.0/24 192.168.144.0/22 eq 53
deny ip any any
#instellen access list voor inkomend verkeer uit het VLAN
conf t
vl 100 ip access-group thinclient in
#weggooien access list
conf t
no ip access-list extended thinclient
#weergeven access lists en waar deze toegepast zijn
show access-list
#weergeven inhoud van access-list
show access-list thinclient
#weergeven van de access-list config, t.b.v. kopieren en plakken:
show access-list config
Het komt nogal eens voor dat je een client ip wil herleiden naar een fysieke machine. Of, wanneer er gebruik word gemaakt van een sniffer, welk mac-adres zich waar bevind. Dit is relatief eenvoudig mits je de methode weet. Het belangrijkste is dat u het mac-adres weet.
Wanneer het mac-adres bekend is kan er op de switches ingelogd worden, en ook dit kan nog een heel klusje zijn als het er meerdere zijn, en vervolgens gefilterd worden op het mac-adres. Allereerst de uitleg hoe je het mac adres van een ip-adres achterhaald:
Tik in een command prompt het volgende in:
Arp –a
Output:
192.168.74.100 00-1e-c9-83-66-4c dynamisch
192.168.74.118 00-15-5d-4a-2d-05 dynamisch
192.168.74.138 00-15-5d-4a-19-07 dynamisch
192.168.74.192 00-15-5d-4a-ea-0d dynamisch
192.168.74.193 00-15-5d-4a-53-0d dynamisch
Zoals je ziet krijg je de ip-adressen inclusief mac-adres terug. Wanneer je een ping doet richting een ip kan je deze terugvinden in de lijst inclusief mac-adres.
Vervolgens loggen we in op de Cisco switch en geven we het volgende command:
Show mac-address-table | include 0015.5d4a.1902
En dan kan de output (mits het device op de switch is aangesloten) als volgt zijn:
1 0015.5d4a.1902 DYNAMIC Gi4/0/9
Oftewel, stackmember 4 poort 9.
Uiteraard kan dit ook op andere merken switches maar zal alleen het commando iets aangepast zijn.
Wat is de snelheid tussen 2 machines. Menig tool is er voor beschikbaar, een paar copy en paste acties verrichten ook wonderen maar in alle gevallen wil je eigenlijk even snel IPerf gebruiken. Deze tool, geporteerd uit de linux hoek, doet precies wat je wilt en laat geen footprint achter.
Lees meer
Gisteren heb ik omschreven hoe u uw pc op afstand aan kan zetten. Vervolgens kunt u deze remote bedienen. Maar wat nu als u niet thuis bent en u wilt hem dan aanzetten?
Na het lezen van onderstaand zegt u: “Geen probleem!”
Lees meer
Vooruit, nog één keer….. en voortaan kan ik iedereen hier naartoe verwijzen :). “Wake on Lan” m.a.w. op het lokale netwerk een computer op afstand aanzetten. Ideaal, maar hoe? Bij deze de stappen.
Als eerste dienen we WoL via de bios te activeren. Sommige pc’s/netwerkkaarten hebben echt de optie tot het aanzetten van “WoL” in de bios. Maar de meeste zullen net als ik een simpele kloon/consumenten merk thuis hebben staan.
Lees meer
Ik heb nu al een aantal vragen gehad inzake de brief die KPN heeft gestuurd inzake “traffic shaping” op uw internet verbinding om de performance te verbeteren. Deze brief is primair van toepassing op Fiber (glasvezel) verbindingen van KPN en niet direct op ASDL of SDSL. Daarnaast kan het wel zijn dat de Duplex settings niet optimaal zijn (deze stonden een tijd standaard verkeerd bij KPN)
Lees meer
Met onze hoge certificering graad op alle belangrijke productlijnen, goed ontwikkelde technische vaardigheden en bereidheid tot samenwerking tot op de allerhoogste niveaus zijn wij al 30 jaar een betrouwbare partner.
