Seja o primeiro a comentar

Por André Ortega, 28/09/2010 11:50

Nos access-points Cisco, das séries 1100 e 1200, quando ocorre uma falha no IOS (ou quando você deleta a imagem sem querer) podemos restaurar a imagem usando o botão MODE ou via linha de comando, através do “ap mode”.

Na primeira opção, via botão MODE, podemos fazer o upload através da rede, sendo necessário apenas um servidor TFTP com o novo IOS e conexão de rede entre o PC e o AP.

Recuperando o access-point através do botão MODE:

Antes de continuar cuidado: Este procedimento fará todas as configurações voltarem aos padrões de fábrica, resetando inclusive chaves WEP/WPA, senhas e SSIDs.

1°) Configure um IP do range 10.0.0.2 a 10.0.0.30 no PC com o TFTP Server.

2°) Conecte o cabo de rede entre o PC e o AP.

3°) Desligue o access-point, segure a botão MODE e ligue o AP. Mantenha o botão MODE pressionado por cerca de 30 segundos, então solte-o.

4°) Espere o access-point bootar, observando os leds. Todos devem ficar verdes e em seguida o led status piscará verde.

5°) Pronto, você já pode acessar o access-point, via linha de comando ou Web-browser (usando o IP padrão de fabrica).

Se este processo não funcionar, você pode tentar via “ap mode”. Este modo é representado pelo prompt ap:, e é semelhante ao “switch mode” (switch:).

Recuperando o access-point através do AP MODE:

1°) Acesse a console do access-point, desligue e ligue o AP. Quando começar a descomprimir a imagem, pressione ESC.

2°) Você verá o prompt ap:, onde será possível configurar um IP, máscara e gateway no AP.

• ap: set IP_ADDR 192.168.0.5
  ap: set NETMASK 255.255.255.0
  ap: set DEFAULT_ROUTER 192.168.0.1

ÉOBRIGATÓRIO o uso de letras maiúsculas, como indicado acima.

3°) Prepare o access-point para usar o TFTP.

• ap: tftp_init

4°) Agora entre com o comando para fazer o download da imagem (.tar) do TFTP server e descompactá-la na flash.

• ap: tar -xtract tftp://192.168.0.1/c1240-rcvk9w8-tar.123-7.JX9.tar flash:

5°) Começará a ser exibida a descompactação dos arquivos. Quando o terminal ficar cheio e aparecer a mensage —More—, pressione a barra de espaço. Isto é muito importante, pois o processo para e aguarda você pressionar a barra de espaço para continuar. Se a barra de espaço não for pressionada pode dar timeout no processo.

6°) Indique o novo IOS para ser usado no boot.

• ap: set BOOT flash:/c1240-rcvk9w8-tar.123-7.JX9/c1240-rcvk9w8-tar.123-7.JX9

7°) Verifique as configurações de boot, com o comando set.

• ap: set
  BOOT=flash:/c1240-rcvk9w8-tar.123-7.JX9/c1240-rcvk9w8-tar.123-7.JX9
  DEFAULT_ROUTER=192.168.133.1
  IP_ADDR=192.168.133.160
  NETMASK=255.255.255.0

8°) Se estiver tudo Ok basta dar o comando boot para o access-point inicializar com a nova imagem.

• ap: boot

O documento original para este procedimento pode ser encontrado aqui.

Até a próxima.

(6) Comentários

Por André Ortega, 21/09/2010 10:20

Além de permitir visualizar as mensagens Syslog na console e no ASDM (e enviar para um servidor Syslog), o ASA também pode enviar as mensagens para um endereço de e-mail.

Antes de continuar cuidado: ENVIAR TODOS OS LOGS PARA O EMAIL PODE GERAR UM DoS NO SERVIDOR, E IMPOSSIBILITAR A ANÁLISE, PELA GRANDE QUANIDADE DE MENSAGENS GERADAS.

Com o comando logging mail podemos especificar o servidor de email, o endereço de origem, destino e o nível de log a ser enviado.

Nível de severidade para mensagens syslog:

• 0 or emergencies—System is unusable
• 1 or alerts—Immediate action needed
• 2 or critical—Critical conditions
• 3 or errors—Error conditions
• 4 or warnings—Warning conditions
• 5 or notifications—Normal but significant conditions
• 6 or informational—Informational messages
• 7 or debugging—Debugging messages

O recomendado é enviar mensagens críticas (2), alertas (1) ou emergências (0). E lembre-se que ao selecionar o nível 2, serão geradas mensagens para os níveis 2, 1 e 0.

Exemplo: Configurando o ASA para enviar mensagens syslog por email.

BrainFW01(config)# logging enable
BrainFW01(config)# logging mail critical
BrainFW01(config)# logging from-address brainfw01@brainwork.com.br
BrainFW01(config)# logging recipient-address operador@brainwork.com.br
BrainFW01(config)# smtp-server 10.10.10.50 10.10.10.51

Com esta configuração o ASA enviará mensagens críticas, alertas e emergências, usando o endereço brainfw01 para o email do operador, usando os servidores smtp 10.10.10.50 e 51.

Também é possível criar filtro, usando o comando logging list, e assim diminuir a quantidade de logs gerados.

BrainFW01(config)# logging list log-mail-list 100100-100110
BrainFW01(config)# logging list log-mail-list level critical
BrainFW01(config)# logging mail log-mail-list

Outra opção é especificar o nível de log enviado para cada usuário. Para isso basta informar o level do logging quando for criar o recipien-address.

BrainFW01(config)# logging recipient-address operador@brainwork.com.br level 2
BrainFW01(config)# logging recipient-address administrador@brainwork.com.br level 0

Outras informações no Command Reference 8.2, do ASA.

Seja o primeiro a comentar

Por André Ortega, 15/09/2010 10:47

Quem vive nas linhas de comandos do Cisco IOS pode agilizar o trabalho criando atalhos (alias) para os comandos mais utilizados. Já falei disso aqui no blog, mas não custa relembrar…

Aliás, usamos alias sem perceber, pois o IOS já conta com atalhos padrões, como os abaixo:

• help: h
• logout: lo
• ping: p
• show: s
• undebug: u ou un
• where: w

Um alias pode ser criado para qualquer comandos do IOS, não podendo apenas mudar de modo de configuração, ser configurado para usar senha e executar itens interativos.

Para criar um atalho, entre no modo de configuração global e use a string alias. Especifique o modo onde o comando será executado, coloque o atalho e o comando original.

Exemplo: Criando um atalho (shintb) para o comando Show Ip interface brief

BrainRT01#conf t
BrainRT01(config)#alias exec shintb Show Ip interface brief
BrainRT01(config)#end
BrainRT01#shintb
Interface                         IP-Address      OK?   Method   Status             Protocol
GigabitEthernet0/0         unassigned      YES NVRAM     up                    up
GigabitEthernet0/0.20     10.10.20.1     YES NVRAM     up                    up
Service-Engine0/1           10.10.20.1     YES TFTP         up                    up
GigabitEthernet0/1         unassigned      YES NVRAM   administratively down down
Serial0/1/0                189.156.31.30     YES NVRAM     up                    up
Dialer0                           unassigned      YES NVRAM     up                    up
Loopback0                      10.10.11.1      YES NVRAM     up                    up
Loopback1                      10.10.16.1      YES NVRAM     up                    up
Loopback100          200.205.150.20      YES NVRAM     up                    up
BrainRT01#

Com a criação do alias o “comando” shintb pode ser utilizado, sem impedir que o comando na forma convencional seja executado.

Outros exemplos de aliases:

son : Show ip ospf neighbor
     BraintRT01(config)#alias exec son show ip ospf neigh
c : Config Terminal
     BraintRT01(config)#alias exec c config terminal
w : Write mem
     BraintRT01(config)#alias exec w write mem
sri : Show Running-Config | Include
     BraintRT01(config)# alias exec sri show running-config | include
srint : Show Running-Config Interface
     BraintRT01(config)# alias exec srint show running-config interface

Para ver os aliases já criados no equipamento utilize o comando show aliases.

Mais informações no site da Cisco.

Até a próxima.

Só um comentário

Por André Ortega, 01/09/2010 16:06

O Cisco IOS permite exibir todas as configurações através dos comandos shows, o que é uma bênção. Mas encontrar a parte que você precisa, quando a configuração é extensa, pode ser trabalhoso.

Para facilitar o processo, e encontrar a informação desejada rapidamente, é possível realizar filtros/modificadores, onde manipulamos como será exibido o resultado do comando show.

As opções de modificadores são exibidas após inserirmos o pipe “|”.

Append: Com o Append podemos criar um arquivo com o resultado do comando show executado, e salvar o resultado de vários “shows” em um arquivo na flash, por exemplo.

BrainRT01#show ver | append flash:teste.txt
BrainRT01#dir
Directory of flash:/

    1  -rw-       12262  May 12 2010 16:03:52 -03:00  app_faxmail_onramp.2.0.1.3.tcl
    2  -rw-    59478200  Jun 8  2010 12:04:40 -03:00  c2800nm-adventerprisek9-mz.124-24.T3.bin
    3              1788  Sep 01 2010 18:44:02 teste.txt

63995904 bytes total (1929216 bytes free)
BrainRT01#

Begin: Permite que seja exibida a configuração a partir da primeira linha onde está uma determinada palavra. Podemos fazer com que seja exibida a configuração a partir da line con0, por exemplo, que está no final da configuração.

BrainRT01#show run | begin line con 0
line con 0
escape-character BREAK
line aux 0
line vty 0 4
access-class brainTelnet in
exec-timeout 5 0
password 7 09184A0D4A011443180F54
escape-character BREAK
!
end

BrainRT01#

Include: Com este filtro apenas as linhas da configuração que contenham a palavra especificada serão exibidas. Ao invés de olhar todo o show run para ver as rotas configuradas, podemos fazer um filtro, pedindo para mostrar apenas as rotas IPs.

BrainRT01#show run | include ip route
ip route 0.0.0.0 0.0.0.0 189.56.33.25
ip route 10.10.8.0 255.255.252.0 10.10.20.2
ip route 10.10.11.32 255.255.255.224 172.16.1.129
ip route 10.10.16.32 255.255.255.224 10.10.20.2
ip route 192.168.10.0 255.255.255.0 10.10.20.22
BrainRT01#

Exclude: Como vocês já devem ter deduzido, funciona de forma contrária ao Include. Este filtro permite visualizar toda a configuração, exceto as linhas que contenham a palavra escolhida. Podemos usá-lo para identificar as interfaces que estão down, por exemplo.

BrainRT01#show ip int bri | exclude up
Interface                     IP-Address       OK?    Method        Status                Protocol
Vlan1                          unassigned      YES     NVRAM       administratively down down
GigabitEthernet0/1     unassigned       YES     unset         down                  down
GigabitEthernet0/2     unassigned       YES     unset         down                  down
BrainRT01#

Redirect: Com este filtro podemos direcionar a saída de um comando para um TFTP, FTP, SCP e até para o USB, caso o equipamento tenha esta opção.

BrainRT01#show tech | redirect tftp://10.10.10.5/shTech.txt
!
BrainRT01#

 Section: Este filtro é usado em conjunto com os filtros Include e Exclude. Com ele uma seção é exibida ou excluída, e não apenas a linha que contém a palavra. Para ver a configuração das interfaces podemos usar este filtro.

BrainRT01#show run | section include interface
interface Loopback0
ip address 10.10.10.10 255.255.255.255
ip flow ingress
h323-gateway voip interface
h323-gateway voip bind srcaddr 10.10.10.11
interface Loopback1
ip address 10.10.16.1 255.255.255.255
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
interface GigabitEthernet0/0.20
description Interface Inside
encapsulation dot1Q 20
ip address 10.10.20.20 255.255.255.0
BrainRT01#

Linenum: Não é exatamente um filtro, mas ajuda. Este comando fará com que as linhas da configuração sejam numeradas. Também pode ser usado em conjunto com outros filtros.

BrainRT01#show run linenum
Building configuration…

Current configuration : 19950 bytes
     1 : !
     2 : ! Last configuration change at 16:54:56 GMT Tue Aug 31 2010 by danielf
     3 : ! NVRAM config last updated at 16:09:41 GMT Mon Aug 30 2010 by danielf
     4 : !
     5 : version 12.4
     6 : service timestamps debug datetime msec
     7 : service timestamps log datetime msec localtime
     8 : no service password-encryption
     9 : !
    10 : hostname BrainRT01
    11 : !
    12 : boot-start-marker
    13 : boot system flash c2800nm-adventerprisek9-mz.124-24.T3.bin
    14 : boot-end-marker
    15 : !
    16 : logging message-counter syslog
    17 : enable secret 5 $1$wzP5$Ebl.gYkGDdSPAI7E3IKMG0
    18 : !
    19 : aaa new-model
    20 : !
    21 : !
    22 : aaa authentication attempts login 2
  –More–

Mais informação neste link.

Até a próxima.