====== Linux. Мониторинг оборудования и интеграция с Cisco ======
* [[https://www.cisco.com/c/dam/m/ru_ru/training-events/2019/cisco-connect/pdf/netdevops_angrechi_on_site.pdf|Как начать управлять сетью на основе методологии NetDevOps и перестать бояться изменений в пятницу вечером]]
* [[https://habr.com/ru/post/682974/|Простое развёртывание сетевой лабы на базе контейнеров]]
===== Программа курса =====
* [[http://www.specialist.ru/course/yun4-a|Linux. Уровень 7. Мониторинг оборудования и интеграция с решениями Cisco]]
===== Список ПО для установки в перерывах =====
* [[Переменные окружения#Установка переменных окружения]] http_proxy
- [[Технология Docker]]
- [[Сервис Ansible]]
- ansible-playbook conf/ansible/roles/mail.yml
- [[Сервисы ELK]] Elasticsearch, Kibana и Logstash
===== Часть 1. Использование GNS для обучения работе с оборудованием Cisco =====
* [[https://ru.wikipedia.org/wiki/Dynamips|Dynamips]]
* [[https://en.wikipedia.org/wiki/Graphical_Network_Simulator-3|Graphical Network Simulator-3]]
* [[https://docs.gns3.com/docs/#what-is-gns3|What is GNS3?]]
===== Модуль 0. Подготовка стенда в классе. =====
* Узнать свой номер стенда X=?
* Удалить VM с прошлых курсов
* Удалить профили putty
* Отключить не используемые адаптеры
* Проверить наличие дистрибутивов и образов
===== Модуль 1. Развертывание сети предприятия. =====
==== Теория ====
* [[http://ru.wikipedia.org/wiki/Cisco_IOS|Cisco IOS]]
==== Схема стенда ====
{{ :schema_gns_2022.png?400 |}}
ISP - [f0/0 router] 172.16.1.X/24
[router f1/0] - [f0/0 switch1]
[router f1/1] - [f0/0 switch2]
router f1/0 + f1/1 = Port-channel1 192.168.X.1/24
[server eth0] - [f0/1 switch1]
[server eth1] - [f0/1 switch2]
server eth0 + eth1 = bond0 192.168.X.10/24
[switch3 f0/0] - [f0/2 switch1]
[switch3 f0/1] - [f0/2 switch2]
switch3 f0/0 + f0/1 = Port-channel1
[client1] - [f0/2 switch3]
LAN - [f0/10 switch1 или switch2]
!!! Можно через неуправляемый switch подключить к обоим коммутаторам
!!! Можно подключить LAN к 15-му порту switch3 (потребуется int f0/1 shut)
Можно поменять символ Cloud на Computer
==== Лабораторные работы: Знакомство с оборудованием Cisco ====
=== 1.1 Знакомство с интерфейсом GNS ===
* Методическая рекомендация: запустить импорт Vbox Win VM client1
* [[Материалы по GNS]]
* Добавляем router и подключаем его к isp
=== 1.2 Знакомство с Cisco CLI ===
* [[Интерфейс командной строки в IOS]]
* Установка времени (clock set ?)
* Управление конфигурацией (running-config, startup-config)
=== 1.3 Настройка router ===
* [[Оборудование уровня 3 Cisco Router]] с EtherChannel
* [[Оборудование уровня 3 Cisco Router#Настройка DHCP сервиса]] (через блокнот)
=== 1.4 Добавление VM client1 в GNS ===
* Добавляем и подключаем switch1, switch2 и switch3
* Добавляем и подключаем Vbox VM client1
* Запускаем switch1 и switch3 без настройки
C:\> ipconfig
C:\> ping 1.1.1.1
==== Вопросы ====
- Какая команда в Cisco используется для поиска строк, содержащих заданный образец?
- Какая клавиша выводит варианты набора команды в Cisco?
- Какая клавиша дописывает ключевые слова команды в Cisco?
===== Модуль 2. Развертывание менеджмент станции =====
==== Теория ====
* [[http://ru.wikipedia.org/wiki/Управление_компьютерной_сетью|Управление компьютерной сетью]]
==== Лабораторные работы: Настройка Linux server ====
=== 2.1 Добавление server в GNS ===
- Назначить 8Gb RAM и 2 CPU
- В GNS назначить 2 сетевых адаптера (или 4-ре при использовании bond)
- При увеличении числа адаптеров после добавления VM, требуется указать их количество в свойствах VM и в свойствах объекта на карте
=== 2.2 Подключение server к switch1 и switch2 в GNS ===
* Добавить server и подключить его к switch1 и switch2
* Добавить LAN в схему стенда
* Выключить и включить switch1 (и switch3 если LAN через него)
* Провести [[netsh#Настройка IP]] на хост системе и проверить ее связь с router
PS C:\Windows\system32> ping 192.168.X.1
=== 2.3 Настройка базовой конфигурации server ===
# ifconfig eth0 inet 192.168.X.10/24
* Подключаемся ssh к server
# hostnamectl set-hostname server.corpX.un
# bash
* Обсудить настройку сети через [[Настройка сети в Linux#Настройка Netplan]]
* Произвести [[Настройка сети в Linux#Отключение ifupdown]] и [[Настройка сети в Linux#Настройка bonding]]
# init 6
или
# netplan apply
# sh conf/dns.sh
...
# cat /etc/bind/corpX.un
$TTL 3h
@ SOA ns root.ns 1 1d 12h 1w 3h
NS ns
A 192.168.X.10
ns A 192.168.X.10
server A 192.168.X.10
router A 192.168.X.1
switch1 A 192.168.X.51
switch2 A 192.168.X.52
switch3 A 192.168.X.53
# service named restart
# cat /etc/resolv.conf
search corpX.un
nameserver 192.168.X.10 #!!! not 127.0.0.1, need in docker
# host router
# ping ya.ru
* Добавить в файл hosts switchN вместо [[Сервис DNS#Настройка сервера зоны обратного преобразования X.168.192.IN-ADDR.ARPA]], понадобится для генерации имен файлов с конфигурацией коммутаторов
# cat /etc/hosts
127.0.0.1 localhost
192.168.X.10 server.corpX.un server
192.168.X.51 switch1
192.168.X.52 switch2
192.168.X.53 switch3
# getent hosts 192.168.X.51
===== Часть 2. Мониторинг оборудования. Задачи и инструменты =====
* [[http://ru.wikipedia.org/wiki/FCAPS|FCAPS — модель администрирования и управления сетями]]
* [[http://cyclowiki.org/wiki/Циклопедия:Списки:Системы_мониторинга_сети|Циклопедия:Списки:Системы мониторинга сети]]
===== Модуль 3. Управление производительностью =====
==== Теория ====
* [[http://www.bog.pp.ru/work/network_performance.html|Bog BOS: Производительность сети и её измерение]]
* [[https://www.ibm.com/developerworks/ru/library/au-networkperfanalysis/index.html|Анализ производительности сети в UNIX]]
* [[http://ru.wikipedia.org/wiki/Тестирование_производительности|Тестирование_производительности - Wikipedia]]
* [[https://ru.wikipedia.org/wiki/SNMP|Протокол SNMP - Wikipedia]]
* [[http://ru.wikipedia.org/wiki/RRDtool|Архитектура RRD баз данных - Wikipedia]]
* [[http://ru.wikipedia.org/wiki/RMON|Протокол RMON - Wikipedia]]
==== Лабораторные работы ====
=== 3.1 Тестирование производительности сети ===
* Утилита [[Утилиты для тестирования сети#ping]]
Host: 172.16.1.254
Login: userX
Pass:
* [[Сервис speedtest]] демонстрирует преподаватель
* [[Утилита iPerf]]
* Примечание1: для чистоты замеров можно остановить client1
* Примечание2: в GNS, исходящий трафик более 100К характеризуется увеличивающимися потерями (до 90 процентов на 1Мб), с входящим проблем не замечено
router#show interface f0/0
router#show interface port-channel 1
=== 3.2 Использование SNMP ===
router#show processes cpu
* Поиск OID оборудования cisco.com -> Search -> SNMP Object Navigator -> SEARCH -> busy
* [[Общие настройки сетевого оборудования Cisco#Настройка snmp агента]] на router с разрешением на чтение
* [[Сервис SNMP#Установка snmp консоли]] (по окончании, преподавателю запустить установку mrtg и cacti)
* [[Сервис SNMP#Варианты использования snmp консоли в режиме чтения]]
* [[http://val.bmstu.ru/unix/MIB%20Browser%20setup.exe|MIB Browser]] [[http://www.ireasoning.com/]]
* [[http://www.mikrotik.com/thedude.php|The Dude by MikroTik]]
=== 3.3 Создание профиля загрузки элементов сети ===
* [[Локализация системы#Локализация временной зоны]]
* [[Сервис MRTG]] (демонстрирует преподаватель за время установки Prometheus)
* [[Сервис Cacti]] (демонстрирует преподаватель за время установки Docker и Grafana)
* [[Сервис Prometheus]]
* [[Сервис Prometheus#prometheus-snmp-exporter]]
* [[Сервис Grafana]]
==== Вопросы ====
- Назовите характеристики сети, относящиеся к производительности.
- Можно ли измерить пропускную способность сети утилитой ping ?
- Что обозначает аббревиатура SNMP?
- Какой протокол и порт по умолчанию использует агент SNMP для запросов?
- Назовите основные команды протокола SNMP.
- Какая утилита пакета используется для перебора значений внутри заданного OID’ом диапазона?
- Как соотносятся MIB и OID в SNMP?
- Как меняется размер базы данных RRD?
===== Модуль 4. Управление конфигурацией =====
==== Теория ====
* [[http://ru.wikipedia.org/wiki/CDP|Протокол CDP]]
* [[http://ru.wikipedia.org/wiki/LLDP|Протокол LLDP]]
* [[http://ru.wikipedia.org/wiki/TFTP|Протокол TFTP]]
* [[http://bog.pp.ru/work/rsh.html|Протоколы RSH/RCP]]
* [[http://ru.wikipedia.org/wiki/Система_управления_версиями|Системы управления версиями]]
* [[https://habr.com/ru/post/339844/|Cisco IOS функционал Archive]]
* [[https://simpleone.ru/blog/upravlenie-konfiguracziyami-i-sovremennye-trebovaniya-k-cmdb/#:~:text=CMDB%20%E2%80%93%20%D0%BE%D0%B4%D0%B8%D0%BD%20%D0%B8%D0%B7%20%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%B2%D1%8B%D1%85%20%D1%8D%D0%BB%D0%B5%D0%BC%D0%B5%D0%BD%D1%82%D0%BE%D0%B2,%D0%BE%20%D0%B2%D0%B7%D0%B0%D0%B8%D0%BC%D0%BE%D1%81%D0%B2%D1%8F%D0%B7%D1%8F%D1%85%20%D0%BC%D0%B5%D0%B6%D0%B4%D1%83%20%D1%8D%D1%82%D0%B8%D0%BC%D0%B8%20%D1%8D%D0%BB%D0%B5%D0%BC%D0%B5%D0%BD%D1%82%D0%B0%D0%BC%D0%B8.|Управление конфигурациями и современные требования к CMDB]]
==== Лабораторные работы ====
=== 4.1 Использование сервиса TFTP ===
* [[Сервис ТFTP]]
* [[Оборудование уровня 3 Cisco Router#Настройка пакетного фильтра]] на Cisco router
gate.isp.un$ wget -O - http://192.168.X.10:3000
* [[Операции с файловыми системами в IOS]]
=== 4.2 Использование сервиса RSH и RCP ===
* [[Общие настройки сетевого оборудования Cisco#Настройка rcmd сервисов]] на Cisco router
* [[Сервисы TELNET RSH#Установка клиента]] rsh
* [[Сервисы TELNET RSH#Варианты использования]] rcmd сервисов в Cisco
=== 4.3.Использование сервисов SSH, SCP и Ansible ===
* [[Оборудование уровня 2 Cisco Catalyst]]
* [[Общие настройки сетевого оборудования Cisco#Настройка SSH]] на switch1 и switch3, (можно не включать сервис SCP)
* При выключении коммутатора в его конфигурации не сохраняются ключи ssh, поэтому, после включения, необходимо:
crypto key generate rsa general-keys modulus 1024
* Может потребоваться [[Сервис SSH#Настройка ssh клиента]] для согласования алгоритмов шифрования
* [[Программирование диалогов expect]] (включаем scp)
* [[Общие настройки сетевого оборудования Cisco#Аутентификация по публичному ключу]] (может не поддерживаться, в этом случае использовать [[Сервис SSH#Парольная аутентификация]])
* [[Сервис SSH#SSH вместо RCP (SCP)]]
* Сервис Ansible [[Сервис Ansible#Установка на управляющей системе]], [[Сервис Ansible#Настройка групп управляемых систем]], [[Сервис Ansible#Настройка транспорта ssh]] и [[Сервис Ansible#Использование модулей]]
=== 4.4 Регистрация изменений конфигурации ===
* [[Система контроля версий rcs]]
* [[Сервис Git]] для каталога /srv/tftp/
=== 4.5 Протоколирование топологии сети ===
* [[Использование протокола CDP]]
* [[Сервис SSH#SSH вместо RSH]]
# cat cdp_save.sh
#!/bin/sh
/usr/bin/ansible sws -m ios_command -a "commands='show cdp nei'" -c local > /srv/tftp/switch.cdp.json
#/usr/bin/ansible sws -m ios_command -a "commands='show cdp nei'" -c network_cli > /srv/tftp/switch.cdp.json
cd /srv/tftp/
/usr/bin/git add *
/usr/bin/git --no-optional-locks status | grep 'modified\|deleted\|new file' | /usr/bin/git commit -a -F -
# crontab -l
0 3 * * * /root/cdp_save.sh >/dev/null 2>&1
=== 4.6 Управление конфигурацией с использованием протокола SNMP ===
* [[Общие настройки сетевого оборудования Cisco#Настройка snmp агента]] на switchN с разрешением на запись (можно через [[Сервис Ansible#Использование playbook]] Ansible)
* [[Сервис SNMP#Варианты использования протокола SNMP в режиме записи]] для switch3
=== 4.7 Использование snmptrap для получения сигнала об изменении конфигурации ===
* [[Сервис SNMP#Настройка snmptrapd сервиса]] на регистрацию всех событий
* [[Общие настройки сетевого оборудования Cisco#Настройка адреса перехватчика trap сообщений]] и [[Общие настройки сетевого оборудования Cisco#Настройка генерации trap-ов]] на изменение конфигурации switchN (можно через [[Сервис Ansible#Использование playbook]] Ansible)
* [[Сервис SNMP#Настройка snmptrapd сервиса]] на резервное копирование конфигурации (демонстрирует преподаватель, далее будут варианты решения этой же задачи с Fail2Ban и ELK Logstash)
==== Вопросы ====
- Какой протокол и порт по умолчанию использует протокол TFTP?
- Какой командой Cisco IOS можно посмотреть содержимое текстового файла, расположенного на TFTP сервере?
- Когда нужно настраивать IP адрес на layer 2 коммутаторе?
- На каком интерфейсе коммутаторов Cisco настраивается IP адрес?
- На каком уровне сетевой модели работают протоколы CDP и LLDP?
- Чем значение OID ifAdminStatus отличается от ifOperStatus?
===== Модуль 5. Управление отказами =====
==== Теория ====
* [[https://ru.wikipedia.org/wiki/Syslog|Syslog]]
* [[https://habrahabr.ru/post/243035/|Ловим snmp трапы mac-notification с устройств Cisco]]
==== Лабораторные работы ====
=== 5.1 Настройка уведомлений о проблемах ===
Развертывание почтового сервера
# ansible-playbook conf/ansible/roles/mail.yml
Мониторинг доступности оборудования и сервисов
* [[Сервис Nagios]] (понадобится [[Сервис MTA#Использование почтовых псевдонимов]]) демонстрирует преподаватель
* Сервис [[Сервис Prometheus#prometheus-blackbox-exporter]]
* [[Сервис Grafana#Grafana dashboard]]
* Сервис [[Сервис Prometheus#prometheus-alertmanager]]
Мониторинг количества выданных адресов
server# rsh router show ip dhcp binding
* Сервис MRTG [[Сервис MRTG#Использование скриптов]] и Сервис Nagios [[Сервис Nagios#Интеграция с MRTG]] (обсудить)
* Сервис [[Сервис Prometheus#prometheus-pushgateway]]
* [[Сервис DHCP#Поиск посторонних DHCP серверов]]
* [[Сервис Grafana#Grafana dashboard]] и, можно в следующих лабораторных, [[Сервис Grafana#Настройка уведомлений]]
* Домашнее задание - настроить [[Сервис Prometheus#prometheus-alertmanager]] на уведомление о превышении количества выданных адресов
=== 5.2 Управление и анализ журналов ===
* !!! Методическая рекомендация - запустить инсталляцию [[Сервисы ELK]] Elasticsearch, Kibana и Logstash
* Сервис rsyslog [[Регистрация событий в Linux#Настройка на обработку сообщений типа local0]] и [[Регистрация событий в Linux#Регистрация сообщений, переданных по сети]]
* [[Общие настройки сетевого оборудования Cisco#Управление log сообщениями]] в оборудовании Cisco (показать на router, для switch-s можно через [[Сервис Ansible#Использование playbook]] Ansible
* Обсудить в видео "[[https://youtu.be/zUi4lTd5WHc|Система управления конфигурациями Ansible и оборудование Cisco]]" использование журнала для выбора момента резервного копирования с помощью [[Сервис Fail2ban]]
* Мастер класс [[https://youtu.be/EvuEjXhDMNQ|Elastic Stack для сетевого инженера]]([[https://rutube.ru/video/ee37e10713d6643c26f7af7eb6457171/|RuTube]])
* Запускаем/знакомимся с [[Сервисы ELK#Elasticsearch]] и подключаемся к нему из [[Сервисы ELK#Kibana]]
* Разворачиваем на server [[Сервис NTP]]
* [[Общие настройки сетевого оборудования Cisco#Настройка времени]] и [[Общие настройки сетевого оборудования Cisco#Управление log сообщениями]] на порт 8514 для switchN через Ansible [[Сервис Ansible#Использование playbook]]
* Копирование журналов коммутаторов на STDOUT и в Elasticsearch сервисом [[Сервисы ELK#Logstash]]
* Отключение резервного копирования в [[Сервис SNMP#Настройка snmptrapd сервиса]]
* Резервное копирование конфигупации с использованием анализа журнала сервисом [[Сервисы ELK#Logstash]]
=== 5.3 Использование snmptrap ===
* [[Общие настройки сетевого оборудования Cisco#Настройка генерации trap-ов]] на уведомление о "падении" линка
* Настройка [[Сервис SNMP#Настройка snmptrapd сервиса]] на уведомление о "падении" линка (не удалось воспроизвести на стенде ситуацию, провоцирующую [[Оборудование уровня 2 Cisco Catalyst#storm-control]]) на switch
=== 5.4 Настройка уведомлений в о критических нагрузках ===
* Сервис Nagios [[Сервис Nagios#Использование plugin check_snmp]] или [[Сервис Nagios#Интеграция с MRTG]]
* Сервис [[Сервис Prometheus#prometheus-alertmanager]]
* Сервис Grafana [[Сервис Grafana#Настройка уведомлений]]
* [[Сервис SNMP#Настройка snmptrapd сервиса]] на обработку сообщений, полученных с [[Общие настройки сетевого оборудования Cisco#Использование RMON подсистемы протокола SNMP]] на cisco router
==== Вопросы ====
- Какой протокол и порт по умолчанию использует протокол Syslog?
- Для чего используется тип сообщений в протоколе Syslog?
- Какой протокол и порт по умолчанию используется для SNMP trap?
- Как работает протокол RMON?
===== Модуль 6. Учет трафика в сетях Cisco =====
==== Теория ====
* [[http://ru.wikipedia.org/wiki/Netflow|Протокол NetFlow]]
==== Лабораторные работы ====
* [[Общие настройки сетевого оборудования Cisco#Настройка времени]] на router
* [[Оборудование уровня 3 Cisco Router#Настройка экспорта статистики по протоколу NetFlow]]
* [[Пакет flow-tools]] или [[Пакет nfdump]]
* Файловый сервер SAMBA [[Файловый сервер SAMBA#Публичный каталог доступный на запись]] и [[Excel]]
* [[Сервисы ELK#Elasticsearch]], [[Сервисы ELK#Filebeat]], [[Сервисы ELK#filebeat netflow module]] и [[Сервисы ELK#Kibana Dashboard]]
==== Внимание! Посмотрите вебинар ====
* [[https://youtu.be/EvuEjXhDMNQ|Elastic Stack для сетевого инженера]]
==== Вопросы ====
- Какие задачи решают сенсоры, коллекторы и анализаторы в протоколе Netflow?
- Пригоден ли протокол Netflow как источник данных для систем IDS/IPS?
===== Модуль 7. Управление безопасностью =====
==== Теория ====
* [[http://ru.wikipedia.org/wiki/Протокол_AAA|Архитектура моделей AAA оборудования Cisco]]
* [[http://ru.wikipedia.org/wiki/RADIUS|Протокол RADIUS]]
* [[https://ru.wikipedia.org/wiki/TACACS|Протокол TACACS]]
* [[http://ru.wikipedia.org/wiki/IEEE_802.1X|Протокол 802.1x]]
* [[http://ru.wikipedia.org/wiki/Зеркалирование|Протокол SPAN]]
==== Лабораторные работы ====
=== 7.1 Использование локальных учетных записей администраторов ===
* [[AAA#Старая модель AAA]] преподаватель демонстрирует на router
* [[AAA#Новая модель AAA]] преподаватель демонстрирует на switch1
* Настраиваем новую модель AAA с локальной базой пользователей и настройками line con через [[Сервис Ansible#Использование playbook]]
=== 7.2 Использование RADUIS для хранения учетных записей администраторов ===
* [[Сервис FreeRADIUS]] (пользователи root и student, коммутаторы switchN)
* Преподаватель демонстрирует на switch1
* [[AAA#Настройка клиента RADIUS]]
* [[AAA#Использование RADIUS для аутентификации подключений]] на switch1
* [[AAA#Использование RADIUS для авторизации подключений]] на switch1
* [[Сервис Ansible#Использование playbook]] для настроек RADIUS на switchN
=== 7.3 Использование TACACS для хранения учетных записей администраторов ===
* [[Сервис TACACS]]
* Преподаватель демонстрирует на switch1 [[AAA#Аутентификация и авторизация с использованием TACACS+]]
* [[Сервис Ansible#Использование playbook]] для настроек на TACACS switchN
=== 7.4 Использование RADUIS для аутентификации пользователей ===
Бонусная лабораторная работа
* Настройка протокола [[Сервис FreeRADIUS#EAP]] для 802.1x на FreeRADIUS
* [[AAA#Использование RADIUS для протокола 802.1x]] на switch3
* [[Оборудование уровня 2 Cisco Catalyst#Настройка 802.1x]] на switch3
* Настройка [[Материалы по Windows#802.1X authentication]] в Windows (оставить только проверку подлинности пользователя, без компьютера!!! Может понадобиться "stut/no shut" для порта коммутатора)
=== 7.5 Развертывание систем IDS и IPS ===
* Настройка [[Оборудование уровня 2 Cisco Catalyst#SPAN]] на switch1 (может потребоваться остановить/запустить server в GNS)
server# cat /etc/network/interfaces
...
auto eth1
iface eth1 inet manual
up ip link set eth1 up
server# ifup eth1
ИЛИ
# cat /etc/netplan/01-netcfg.yaml
...
bond1:
interfaces: [eth2, eth3]
parameters:
mode: active-backup
mii-monitor-interval: 100
primary: eth2
ethernets:
...
eth2: {}
eth3: {}
* Применяем [[Настройка сети в Linux#Настройка Netplan]]
* Проверяем [[Настройка сети в Linux#bond netplan]]
switch1#
conf t
interface FastEthernet0/15
shut
no shut
end
server# tcpdump -nni eth1 host 192.168.X.101
server# tcpdump -nni bond1 host 192.168.X.101
* Развертывание системы IDS ([[Сервис SNORT]])
* [[Общие настройки сетевого оборудования Cisco#Настройка snmp агента]] на router с разрешением на запись
* Развертывание системы IPS (Сервис Fail2ban [[Сервис Fail2ban#Установка]], [[Сервис Fail2ban#Интеграция fail2ban и snort]] и [[Сервис Fail2ban#Запуск и отладка]])
==== Вопросы ====
- Что обозначает аббревиатура AAA?
- К чему в модели AAA относятся директивы username, password, login, exec, dot1x, privilege?
- Кто является клиентом для RADIUS сервера?
- Для чего используется общий секрет между RADIUS сервером и сервером доступа?
- Какой протокол и порт по умолчанию использует RADIUS сервер для аутентификации?
- Какой протокол и порт по умолчанию использует RADIUS сервер для учета?
- Может ли сервер RADIUS использоваться для управления правами доступа администраторов в Cisco CLI?
- Какой трафик в стандарте 802.1X разрешен для неавторизованного клиента?
- Какой протокол и порт по умолчанию использует TACACS+ сервер?
- В чем преимущества и недостатки протоколов RADIUS и TACACS+ ?
- Можно ли использовать порт коммутатора Cisco одновременно и для SPAN и для передачи трафика адресованного подключенной к этому порту рабочей станции?
- Пригодна ли технология Cisco SPAN как источник данных для систем IDS/IPS?
- Почему системы IPS затруднительно использовать для блокировки передачи вирусных файлов по сети?
===== Часть 3. Совместное использование Linux систем с оборудованием Cisco =====
===== Модуль 8. Использование виртуальных сетей (VLAN) =====
==== Теория ====
* [[http://ru.wikipedia.org/wiki/IEEE_802.1Q|Протокол 802.1q]]
==== Лабораторные работы ====
* [[Использование протокола 802.1q#Настройка vlan]] через [[Программирование диалогов expect]] на switch1 и switch3
* [[Оборудование уровня 2 Cisco Catalyst#Настройка EtherChannel]] на switch3
* 802.1q [[Использование протокола 802.1q#Настройка интерфейсов]] на switch1 и switch3
* [[Использование протокола 802.1q#Настройка Linux системы]]
server# sh conf/dhcp.sh
* [[Сервис DHCP]] (vlan2 и 100+X)
* [[Сервис DHCP#Проверка конфигурации и запуск]]
==== Вопросы ====
- Что обозначает термин Native VLAN?
- Как увеличивается размер фрейма в протоколе 802.1q?
===== Модуль 9. Управление маршрутизацией =====
==== Теория ====
* [[https://ru.wikipedia.org/wiki/Протокол_маршрутизации|Протоколы маршрутизации]]
* [[https://ru.wikipedia.org/wiki/OSPF|Протокол маршрутизации OSPF]]
* [[https://ru.wikipedia.org/wiki/Border_Gateway_Protocol|Протокол маршрутизации BGP]]
==== Лабораторные работы ====
* !!! Потребовалось
# systemctl disable docker
# init 6
* Попробовать совет Дмитрия Евгеньевича, найденный в статье [[https://docker-docs.uclv.cu/network/iptables/|Docker and iptables]]
iptables -I DOCKER-USER -i src_if -o dst_if -j ACCEPT
* [[Использование протоколов маршрутизации]]
==== Вопросы ====
- Какие протоколы динамической маршрутизации Вам известны?
- Чем характеризуется протокол OSPF?
- Чем характеризуется протокол BGP?
===== Модуль 10. Тестирование отказоустойчивости ядра сети =====
- Сохраняем конфигурацию и отключаем switch1
- Переключаем LAN на 10-й порт switch2 или отключаем интерфейс f0/0 и включаем f0/1 на switch3
- Включаем switch2
- Отключаем интерфейс eth0 на server [[Настройка сети в Linux]]
- Подключаемся по ssh к server (сессия может даже не прерваться:)
- Отключаем интерфейс f1/0 и включаем f1/1 на router
- Проверяем связь с Internet с server
- Проводим базовую настройку [[Оборудование уровня 2 Cisco Catalyst]] switch2
- Проводим [[Общие настройки сетевого оборудования Cisco#Настройка SSH]] на switch2
- Через [[Сервис Ansible#Использование playbook]] ansible (aaa local) и [[Программирование диалогов expect]] обновляем конфигурацию на switch2
- [[Использование протокола 802.1q#Настройка интерфейсов]] trunk на интерфейсах f0/1 и f0/2 на switch2
- Проверяем доступ в Internet на client1
- Настраиваем [[Оборудование уровня 2 Cisco Catalyst#SPAN]] на switch2, отключаем интерфейс eth2 ([[Настройка сети в Linux]]) на server и проверяем работу IPS