Difference between revisions of "Cisco Services"

From HackerNet
Jump to: navigation, search
Line 10: Line 10:
 
  show ip http server all
 
  show ip http server all
  
Filöverföring, brukar vara snabbare än tftp och scp.
+
Filöverföring med HTTP brukar vara snabbare än tftp och scp.
 
  copy http://10.0.0.10/ios.bin flash:
 
  copy http://10.0.0.10/ios.bin flash:
  
Line 27: Line 27:
  
 
=NTP=
 
=NTP=
I nyare versioner av IOS används NTPv4 (''show ntp information'') och det finns därmed stöd för [[Cisco_IPv6|IPv6]]. Det går dock att ställa NTP-version per interface eller peer.
+
I nyare versioner av IOS används NTPv4 (''show ntp information'') och det finns därmed stöd för [[Cisco_IPv6|IPv6]]. Det går dock att ställa NTP-version per interface eller peer. Offset måste vara mindre än 1000 msec för att servern ska anses ''sane''. Om det är mycket offset så kommer synk-processen att ta lång tid.
  
 
Packet types
 
Packet types
 
* Control messages: peer status och set management parameters
 
* Control messages: peer status och set management parameters
 
* Update/request messages: time synchronization
 
* Update/request messages: time synchronization
 +
<div class="mw-collapsible mw-collapsed" style="width:200px">
 +
Client:
 +
<div class="mw-collapsible-content">
 +
[[File:Cisco_NTP_client.png]]
 +
</div>
 +
</div>
 +
<div class="mw-collapsible mw-collapsed" style="width:200px">
 +
Server:
 +
<div class="mw-collapsible-content">
 +
[[File:Cisco_NTP_server.png]]
 +
</div>
 +
</div>
 +
 
  ntp logging
 
  ntp logging
  
Line 39: Line 52:
  
 
'''Server'''
 
'''Server'''
  ntp master
+
  ntp master <stratum>
 
  show ntp packets mode server
 
  show ntp packets mode server
  
Line 45: Line 58:
 
  ntp server 10.0.0.10
 
  ntp server 10.0.0.10
 
  ntp server vrf Mgmt 130.236.254.102
 
  ntp server vrf Mgmt 130.236.254.102
 +
''OBS det tar flera minuter innan klient synkar med server första gången.''
 +
 
Verify
 
Verify
 
  show ntp status
 
  show ntp status
Line 53: Line 68:
 
'''Peer''' <br/>
 
'''Peer''' <br/>
 
Båda enheter kan uppdatera sina klockor mot varandra, som ett NTP-kluster
 
Båda enheter kan uppdatera sina klockor mot varandra, som ett NTP-kluster
  ntp peer 10.0.0.10
+
  ntp peer 10.0.0.10 [key 20]
  
 
'''Access control''' <br/>
 
'''Access control''' <br/>
Line 59: Line 74:
 
  ntp access-group ipv4 <ACL>
 
  ntp access-group ipv4 <ACL>
  
'''Authentication'''
+
'''Authentication''' <br/>
ntp server 1.1.1.1 prefer
+
enable authentication, configure a key with a key index, trust the key.
 
  ntp authenticate
 
  ntp authenticate
 
  ntp authentication-key 20 md5 SECRET
 
  ntp authentication-key 20 md5 SECRET
 
  ntp trusted-key 20
 
  ntp trusted-key 20
  ntp peer 10.0.0.10 key 20
+
   
 +
show ntp associations detail  | inc auth
  
 
'''Broadcast''' <br/>
 
'''Broadcast''' <br/>
Line 74: Line 90:
 
Receiver
 
Receiver
 
  int vlan 101
 
  int vlan 101
   ntp broadcast client
+
   ntp broadcast|multicast client
  
 
'''Others''' <br/>
 
'''Others''' <br/>
 +
Default-inställningar
 +
ntp max-associations 100
 +
ntp allow mode control 3
 +
ntp mindistance 1
 +
ntp maxdistance 8
 +
Enable hardware clock synchronization
 +
ntp update-calendar
 
If my peer or configured master's clock is more than 1,000 seconds (default) off of my clock, reject the update and syslog.
 
If my peer or configured master's clock is more than 1,000 seconds (default) off of my clock, reject the update and syslog.
 
  ntp panic update
 
  ntp panic update
Line 85: Line 108:
  
 
=SCP=
 
=SCP=
 +
Secure copy protocol på IOS kräver AAA för user authentication och authorization eftersom copy är ett exec-kommando.
 +
 
Server
 
Server
 
  ip scp server enable
 
  ip scp server enable
Line 91: Line 116:
  
 
=TFTP=
 
=TFTP=
Dela ut fil med tftp
+
Dela ut fil med TFTP.
  tftp-server flash:ios.bin
+
tftp-server nvram:startup-config alias TEST
 +
 
 +
Klient
 +
  ip tftp source-interface loopback0
 +
copy tftp://10.0.0.10/TEST null:
 
Debug
 
Debug
 
  debug tftp events
 
  debug tftp events
  
 
=FTP=
 
=FTP=
Server  
+
Server, because of numerous vulnerabilities (bug ID CSCse29244, IOS crash when transferring files via FTP) Cisco has removed the FTP server functionality from recent IOS releases.
  
 
Klient
 
Klient
 +
no ip ftp passive
 +
ip ftp source-interface Loopback0
 +
ip ftp username USER
 +
ip ftp password SECRET
  
 
[[Category:Cisco]]
 
[[Category:Cisco]]

Revision as of 19:02, 2 November 2016

Cisco IOS har stöd för diverse protokoll för mgmt och filöverföring.

Kontrollera vilka portar som är aktiva: show control-plane host open-ports

Samt vilken service som använder vilken port: show ip port-map

HTTP 

ip http server
ip http secure-server 
show ip http server all

Filöverföring med HTTP brukar vara snabbare än tftp och scp. 

copy http://10.0.0.10/ios.bin flash:

DNS

Server 

ip dns server
ip dns spoofing 2.2.2.2
ip name-server 8.8.4.4 8.8.8.8 
ip domain round-robin

Verify 

show ip dns primary
debug domain

Hosts 

ip host r1 10.0.0.10
show hosts

NTP

I nyare versioner av IOS används NTPv4 (show ntp information) och det finns därmed stöd för IPv6. Det går dock att ställa NTP-version per interface eller peer. Offset måste vara mindre än 1000 msec för att servern ska anses sane. Om det är mycket offset så kommer synk-processen att ta lång tid.

Packet types

  • Control messages: peer status och set management parameters
  • Update/request messages: time synchronization

Client:

Cisco NTP client.png

Server:

Cisco NTP server.png 

ntp logging

Tidszon (Sverige) 

clock timezone CET 1
clock summer-time CEST recurring last sunday march 02:00 last sunday october 03:00

Server 

ntp master <stratum>
show ntp packets mode server

Klient 

ntp server 10.0.0.10
ntp server vrf Mgmt 130.236.254.102

OBS det tar flera minuter innan klient synkar med server första gången.

Verify 

show ntp status
show ntp associations

Ställ klockan manuellt. Kan göras för att skynda på klocksynkronisering. 

clock set 12:00:00 20 July 2020

Peer
Båda enheter kan uppdatera sina klockor mot varandra, som ett NTP-kluster 

ntp peer 10.0.0.10 [key 20]

Access control
Med ACL, NTP Access control levels: 

ntp access-group ipv4 <ACL>

Authentication
enable authentication, configure a key with a key index, trust the key. 

ntp authenticate
ntp authentication-key 20 md5 SECRET
ntp trusted-key 20

show ntp associations detail  | inc auth

Broadcast
NTP-paket går även att skicka med broadcast eller multicast. 

interface gi2
 ntp broadcast|multicast
 ntp broadcast key 20

Receiver 

int vlan 101
 ntp broadcast|multicast client

Others
Default-inställningar 

ntp max-associations 100
ntp allow mode control 3
ntp mindistance 1
ntp maxdistance 8

Enable hardware clock synchronization 

ntp update-calendar

If my peer or configured master's clock is more than 1,000 seconds (default) off of my clock, reject the update and syslog. 

ntp panic update

Distance, 1 är slow convergence, 16 är fast 

ntp maxdistance <1-16>

Orphan kicks in when we lose sync with our server. The number here is a stratum number, and must be a number lower than your real upstream NTP server 

ntp orphan <1-16>

SCP

Secure copy protocol på IOS kräver AAA för user authentication och authorization eftersom copy är ett exec-kommando.

Server 

ip scp server enable

Klient 

copy scp://10.0.0.10:ios.bin flash:ios.bin

TFTP

Dela ut fil med TFTP. 

tftp-server nvram:startup-config alias TEST

Klient 

ip tftp source-interface loopback0
copy tftp://10.0.0.10/TEST null:

Debug 

debug tftp events

FTP

Server, because of numerous vulnerabilities (bug ID CSCse29244, IOS crash when transferring files via FTP) Cisco has removed the FTP server functionality from recent IOS releases.

Klient 

no ip ftp passive
ip ftp source-interface Loopback0
ip ftp username USER
ip ftp password SECRET
Retrieved from "https://hackernet.se/index.php?title=Cisco_Services&oldid=2092"