Só um comentário

Por André Ortega, 03/01/2011 07:06

Dando continuidade ao post sobre o comando archive vamos ver agora como armazenar logs com as configurações realizadas, inclusive identificando qual foi o usuário utilizado. Claro que para esta funcionalidade ter utilidade cada usuário deverá ter um username (no roteador ou base de autenticação externa).

No modo de configuração archive, escolha a opção log config, e então digite logging enable. Com isto toda alteração na configuração será logada.

Habilitando o Log Config

LAB_2811#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
LAB_2811(config)#archive
LAB_2811(config-archive)#log config
LAB_2811(config-archive-log-cfg)#logging enable
LAB_2811(config-archive-log-cfg)#end
LAB_2811#

Verificando quem fez mundaças na configuração do roteador

Brain_RT01#show archive log config all
idx   sess           user@line      Logged command
1     1          cisco@vty0     |  logging enable
2     1          cisco@vty0     |  notify syslog
3     1          cisco@vty0     |  record rc
4     2          cisco@vty0     |  hostname Brain_RT01
5     3          cisco@vty0     |  username brainwork privilege 15 secret cisco
6     3          cisco@vty0     |  !config: USER TABLE MODIFIED
7     5          cisco@vty0     |  archive
8     5          cisco@vty0     |   log config
9     5          cisco@vty0     |   no notify syslog contenttype plaintext
10     5          cisco@vty0     |  no record rc
11     6      brainwork@vty1   | enable password cisco
12     6      brainwork@vty1   | enable secret cisco
13     6      brainwork@vty1   | username 123 password cisco
14     6      brainwork@vty1   | !config: USER TABLE MODIFIED

Um detalhe importante é que após o roteador ser desligado os logs serão apagado. Enfim, não é um TACACS Server mas já ajuda.

Fazendo o rollback

Então você fez uma alteração na configuração e parecia tudo bem… porém, no dia seguinte, nada mais estava funcionando. Ainda bem que com o archive e o configure replace é possível fazer um rollback.

O configure replace está disponível nos IOS a partir da versão 12.3(7)T, e com ele é possível substituir a running-config por um arquivo de configuração (salvo com o comando archive, por exemplo).

Restaurando a configuração anterior (neste exemplo o arquivo backup_config já estava na flash)

Brain_RT01#configure replace flash:/backup_config/Brain_RT01-0
This will apply all necessary additions and deletions
to replace the current running configuration with the
contents of the specified configuration file, which is
assumed to be a complete configuration, not a partial
configuration. Enter Y if you are sure you want to proceed. ? [no]: yes
Total number of passes: 1
Rollback Done

The following commands are failed to apply to the IOS image.
********
ip dhcp pool ITS
network 192.168.20.0 255.255.255.0
option 150 ip 192.168.20.1
default-router 192.168.20.1
********

Brain_RT01#

Observe que alguns comando não puderam ser restaurados (parte em laranja). Mesmo assim, sabendo quais são os comando, você pode ir lá e configurar manualmente.

Mais detalhes sobre o comando configure replace neste link.

Até a próxima.

Só um comentário

Por André Ortega, 10/12/2010 08:30

E o tempo passa para todos…

A Cisco anunciou dia primeiro de novembro o End of Life dos roteadores das séries 1800, 2800 e 3800, que ainda estarão a venda até dia 31 de outubro de 2011.

Os roteadores de serviços integrados apresentaram um novo conceito, agregando serviços a um equipamento que até então era “apenas” roteador, e com isso conseguiram se tornar os roteadores mais vendidos da história.

Hoje um simples roteador pode ser um PABX IP, um ponto de acesso wireless, acelerador de aplicações, firewall, concentrador VPN, IPS, filtro de conteúdo,… e ainda fazer roteamento.

De qualquer forma, desde o lançamento do ISRg2, este anuncio já era esperado.

Quem precisa de um novo roteador deve comprar os novos modelos (1900, 2900 e 3900), e quem acabou de comprar um roteador ISRg1 não precisa se preocupar, pois eles terão suporte até 2016.

Veja a anuncio oficial aqui.

Até a próxima.

(2) Comentários

Por André Ortega, 30/11/2010 08:15

A disputa entre os fabricantes de equipamentos está cada vez mais acirrada. Mais funcionalidades são adicionadas a cada atualização e o desempenho é cada vez maior. Mas além destes itens, importantes, diga-se de passagem, a confiabilidade também conta. E muito.

Esses dias acabei encontrando na internet alguns show versions impressionantes. São switches, roteadores e firewalls Cisco que estão ligados há mais de dois anos. Veja abaixo alguns desses “heróis”:

• Equipamento: PIX515E, Uptime: 2 anos
  CPIX001# sh ver
  Cisco PIX Security Appliance Software Version 7.1(2)
  Device Manager Version 5.1(2)
  Compiled on Tue 14-Mar-06 17:00 by dalecki
  System image file is "flash:/pix712.bin"
  Config file at boot was "startup-config"
  CPIX001 up 2 years 171 days
  Hardware:   PIX-515E, 64 MB RAM, CPU Pentium II 433 MHz
  
• Equipamento: 2500, Uptime: 10 anos
  c2da-acc-1#sh ver
  Cisco Internetwork Operating System Software
  IOS ™ 2500 Software (C2500-I-L), Version 11.2(18)P,  RELEASE SOFTWARE (fc1)
  Copyright (c) 1986-1999 by cisco Systems, Inc.
  Compiled Mon 12-Apr-99 13:29 by ashah
  Image text-base: 0x030241E0, data-base: 0×00001000
  ROM: System Bootstrap, Version 11.0(10c)XB1, PLATFORM SPECIFIC RELEASE SOFTWARE (fc1)
  BOOTFLASH: 3000 Bootstrap Software (IGS-BOOT-R), Version 11.0(10c)XB1, PLATFORM SPECIFIC RELEASE SOFTWARE (fc1)
  c2da-acc-1 uptime is 10 years, 28 weeks, 5 minutes
  System restarted by power-on at 14:13:06 bst Mon May 15 2000
  System image file is "flash:c2500-i-l.112-18.P.bin", booted via flash
  
• Equipamento: 2500, Uptime: 4 anos
  hostname>show ver
  Cisco Internetwork Operating System Software IOS ™ 3000 Software (IGS-J-L), Version 11.1(17), RELEASE SOFTWARE (fc1)
  Copyright (c) 1986-1998 by cisco Systems, Inc.
  Compiled Tue 27-Jan-98 12:14 by phester
  Image text-base: 0x030391F0, data-base:0×00001000
  ROM: System Bootstrap, Version 5.2(8a),
  RELEASE SOFTWARE ROM: 3000 Bootstrap Software (IGS-RXBOOT), Version 10.2(8a), RELEASE SOFTWARE (fc1)
  Uptime is 4 years, 4 weeks, 5 days, 23 hours, 28 minutes
  System restarted by reload at 06:57:55 UTC Sun Mar 22 1998
  System image file is“flash:c2500-j-l_111-17.exe”, booted via fash
  cisco 2500 (68030) processor (revision M) with 6144K/2048K bytes of memory.
• Equipamento: 2620, Uptime: 4 anos
  router uptime is 4 years, 10 weeks, 5 days, 9 hours, 13 minutes
  System returned to ROM by power-on
  System restarted at 14:27:52 ACDT Fri Nov 14 2003
  System image file is "flash:c2600-js-mz.122-17a.bin"
  cisco 2620 (MPC860) processor (revision 0×102) with 61440K/4096K bytes of memory.
• Equipamento: 2500, Uptime: 8 anos
  win-gw uptime is 8 years, 17 weeks, 2 days, 19 hours, 4 minutes
  System restarted by power-on at 11:32:24 UTC Sat Oct 2 1999
  System image file is "flash:c2500-is-l.112-15a.bin.Z", booted via flash

Na imagem abaixo equipamentos aqui do Brasil (com os hostnames omitidos), que estão no ar há mais de 2 anos, enviados por um amigo do blog.

Também tem o caso do pessoal de Oklahoma – EUA, que fez um bolo para comemorar o aniversário de 5 anos ligados de um 2500. Eles até mandaram uma foto para a revista Packet (alguém lembra da Packet? Era uma revista da Cisco, tipo um blog impresso, na época em que blogs não eram tão comuns. Você se cadastrava e recebia pelo correio a cada quadrimestre. Depois passou a ser só eletrônica (PDF) e depois, com os blogs, acabou).

Legal né?!?!

Se alguém tiver equipamentos “imortais” e quiserem compartilhar coloca o show version nos comentários.

Até a próxima.

(3) Comentários

Por André Ortega, 29/11/2010 15:14

Quantas vezes você fez uma alteração na configuração de um roteador e depois teve que voltar a configuração inicial? Ou pior, quantas vezes você precisou restaurar uma configuração e não tinha o backup?

A partir da versão 12.3(4)T o IOS conta com o comando archive, que entre outras coisas, permite que sejam criados e armazenados arquivos de configurações do roteador. Uma vez armazenada podemos restaurar a configuração ou mesmo comparar as diversas versões salvas.

No máximo 14 arquivos de configuração são permitidos, e eles podem ser criados sempre que você salvar a configuração (wr, copy run start), através do comando archive config ou ainda podemos deixar agendado para que um arquivo seja criado a cada X minutos.

Usando o comando archive – Configuração mínima.

1°) (Opcional) Crie uma pasta onde os arquivos de backup serão armazenados. Você também pode mandar direto para a flash ou para um servidor TFTP, HTTP, FTP e RCP.

LAB_2811#mkdir backup_config
Create directory filename [backup_config]?
Created dir flash:/backup_config
LAB_2811#

2°) No modo de configuração global digite archive, e depois indique o caminho onde os arquivos serão salvos. O parametro $h faz com que o arquivo seja gerado usando o hostname do equipamento

LAB_2811#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
LAB_2811(config)#archive
LAB_2811(config-archive)#path flash:/backup_config/$h
LAB_2811(config-archive)#

Com a configuração acima, basta digitar archive config no modo de configuração privilegiado para gerar um arquivo de backup da configuração no caminho especificado.

Gerando arquivos automaticamente

1°) Após a configuração incial (do exemplo acima) podemos configurar  o roteador para gerar um arquivo todas vez que a configuração for salva e/ou a cada X minutos.

LAB_2811#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
LAB_2811(config)#archive
LAB_2811(config-archive)#write-memory
LAB_2811(config-archive)#time-period 1440
LAB_2811(config-archive)#end
LAB_2811#

Assim toda vez que alguém digitar wr ou copy run start um arquivo será armazenado na pasta que criamos. E também, a cada 1440 minutos.

Verificando os arquivos

No modo do de configuração privilegiado é possível verificar os arquivos criados e o caminho onde eles estão sendo salvos.

Com pelo menos dois arquivos, também podemos verificar as diferenças entre eles.

Verificando os arquivos criados

LAB_2811#show archive
The maximum archive configurations allowed is 14.
There are currently 3 archive configurations saved.
The next archive file will be named flash:/backup_config/LAB_2811-3
Archive #  Name
   1        flash:/backup_config/Brain_RT01-0
   2        flash:/backup_config/LAB_2811-1
   3        flash:/backup_config/LAB_2811-2 <- Most Recent
   4
   5
   6
   7
   8
   9
   10
LAB_2811#

Usando o comando show archive config differences

LAB_2811#show archive config differences flash:/backup_config/Brain_RT01-0 flash:/backup_config/LAB_2811-3
Contextual Config Diffs:
+hostname LAB_2811
archive
+rollback filter adaptive
-hostname Brain_RT01
-ip dhcp pool ITS
   -network 192.168.20.0 255.255.255.0
   -option 150 ip 192.168.20.1
   -default-router 192.168.20.1
-ephone 2
-mac-address 0012.8055.900A
-type 7960
-button 1:2
LAB_2811#

No próximo post abordaremos a opção para armazenar log de alteração da configuração através do comando archive e também o rollback.

Mais informações aqui.

Até a próxima.

(4) Comentários

Por André Ortega, 28/10/2010 10:45

Como sabemos os switches e roteadores Cisco permitem a conexão Telnet para outros dispositivos, pois são clientes Telnet. Ou seja, de um switch podemos acessar outro equipamento que seja um servidor Telnet. O mesmo se aplica ao SSH.

Para usar esta funcionalidade (Telnet/SSH Client), basta entrar na line vty do equipamento de onde a conexão se originará e utilizar o comando transport output. Com ele podemos especificar o tipo de conexão que será permitida sair do equipamento(Telnet, SSH).

Por padrão os equipamentos vem com o Telnet liberado.

Exemplo: Liberando SSH originado no switch/roteador

BrainGW01#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
BrainGW01(config)#line vty 0 4
BrainGW01(config-line)#transport output  ssh
BrainGW01(config-line)#end
BrainGW01#

Também é possível bloquear as conexões Telnet e SSH originadas no equipamento. Para isso bastar usar a opção none.

Exemplo: Bloqueando conexões Telnet e SSH originadas em um switch

BrainGW01#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
BrainGW01(config)#line vty 0 4
BrainGW01(config-line)#transport output  none
BrainGW01(config-line)#end
BrainGW01#

Output none

Com o comando transport output none configurado, caso alguém tente realizar um Telnet ou SSH para outro dispositivo o equipamento gerará a seguinte mensagem:

Unable to Telnet to other devices, and the %telnet connections not permitted from this terminal

Até a próxima.