====== Общие настройки сетевого оборудования Cisco ======

===== Настройка времени =====
<code>
ntp server server

clock timezone MSK 3

service timestamps log datetime localtime year
</code>

===== Отключение http сервера =====
<code>
no ip http server
</code>

===== Ограничение доступа к vty =====
<code>
no access-list 1
! access-list 1 permit host 192.168.X.101
access-list 1 permit host 192.168.X.10
access-list 1 deny any

line vty 0 15
! no login ! for no password access
! privilege level 15
 access-class 1 in
end
</code>

===== Настройка SSH =====

  * [[https://supportforums.cisco.com/discussion/11352601/enable-ssh-v2|Cisco Support Community. Enable SSH V2]]

==== Включение сервиса ====

Вариант 1

<code>
ip domain-name corpX.un
crypto key generate rsa general-keys modulus 1024
ip ssh version 2

username root privilege 15 secret cisco

line vty 0 15
login local
transport input ssh
</code>

Вариант 2

<code>
crypto key generate rsa label MY_KEYS modulus 1024
ip ssh rsa keypair-name MY_KEYS
</code>


==== Включение scp ====
<code>
ip scp server enable
</code>

==== Аутентификация по публичному ключу ====

  * !!! IOS должен поддерживать SSH Version 2 Enhancements for RSA Keys feature
  * [[https://supportforums.cisco.com/document/110946/ssh-using-public-key-authentication-ios-and-big-outputs|SSH using public key authentication to IOS and big outputs.]]

<code>
root@helper:~# cat .ssh/id_rsa.pub
</code><code>
...
</code>

!!! Разбить вывод на несколько строк !!!

<code>
ip ssh pubkey-chain
username rancid
key-string
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9KLTWwi8BTLMW6r79wgrfXrUOwai/smc
...
36w0k+JeK/WqJr5X80yX7fLbP root@helper
exit
exit
exit
</code>
===== Настройка rcmd сервисов =====

==== Включение сервисов ====
<code>
ip rcmd rcp-enable
ip rcmd rsh-enable
</code>

==== Настройка прав доступа ====
<code>
! recomend for security and DNS troubles
ip host server 192.168.X.10

ip rcmd remote-host root server root enable
</code>
===== Управление log сообщениями =====

==== Вывод логов на экран telnet сессии ====
<code>
router# show logging

router# terminal monitor
</code>

==== Вывод логов на экран console сессии ====
<code>
router(config)# logging console
</code>

==== Отправка логов на syslog сервер ====

  * !!! для одного host может быть только один port

<code>
cisco(config)#logging facility local0

cisco(config)#logging host server ! transport udp port 8514
</code>
===== Настройка snmp агента =====

==== Разрешение на чтение ====
<code>
router(config)# snmp-server community public RO
</code>

==== Разрешение на запись ====
<code>
switch(config)# snmp-server community write RW
</code>

==== Настройка адреса перехватчика trap сообщений ====
<code>
switch(config)# snmp-server host server writetrap
</code>
==== Настройка генерации trap-ов ====
<code>
switch(config)# snmp-server enable traps snmp linkdown linkup

switch(config)# snmp-server enable traps config
switch(config)# snmp-server enable traps config-copy
</code>

==== SNMPv3 ====

  * [[https://blog.zabbix.com/monitoring-network-hardware-with-snmpv3-in-zabbix/10093/|Monitoring network hardware with SNMPv3 in Zabbix]]
==== Использование RMON подсистемы протокола SNMP ====

=== Мониторинг изменения загрузки интерфейса router FastEthernet1/1 ===

Настройка router:
<code>
snmp-server host server writetrap

rmon event 1001 log trap writetrap description "Critical input bandwith WAN int"
rmon event 1002 log trap writetrap description "Ok input bandwith WAN int"

rmon alarm 2002 ifEntry.10.1 8 delta rising-threshold 900000 1001 falling-threshold 300000 1002
!rmon alarm 2002 1.3.6.1.2.1.2.2.1.16.5 8 delta rising-threshold 900000 1001 falling-threshold 300000 1002

router#show rmon alarms
</code>

Комментарии:

  * event - кому посылать (в trap с комьюнити writetrap) и описание события
  * alarm - причины возникновения trap и привязка к event
  * Номер alarm (2002) присутствует в OID trap
  * 1.3.6.1.2.1.2.2.1.10/16.2 превратится в ifEntry.10/16.2 - (тоже что и if(In/Out)Octets.2 но router такую запись OID не понимает) 
  * 8 - период расчета в секундах (удобно, получаем вместо октет/секунду - бит/секунду)
  * delta - считать относительно предыдущего параметра
  * rising-threshold 900000 1001 - при превышении разницы значений счетчика на 900000 (немного меньше 1Мбита) генерировать event 1001
  * falling-threshold 300000 1002 - при уменьшении разницы значений  счетчика на 300000 генерировать event 1002

Тестирование:
<code>
gate.isp.un$ iperf -c 192.168.X.10 -u -t 600 -b 1M

server# tcpdump -i eth1 -s0 -A -n port 162
</code>

=== Мониторинг загрузки процессора ===

<code>
rmon event 4 log trap public description "Cpu hight load"
rmon alarm 8 1.3.6.1.4.1.9.2.1.56.0 10 absolute rising-threshold 80 4 falling-threshold 6 20
</code>