Table of Contents

Linux. Мониторинг оборудования и интеграция с Cisco

Программа курса

Список ПО для установки в перерывах

  1. ansible-playbook conf/ansible/roles/mail.yml
  2. Сервисы ELK Elasticsearch, Kibana и Logstash

Часть 1. Использование GNS для обучения работе с оборудованием Cisco

Модуль 0. Подготовка стенда в классе.

Модуль 1. Развертывание сети предприятия.

Теория

Схема стенда

ISP - [f0/0 router] 172.16.1.X/24

[router f1/0] - [f0/0 switch1]
[router f1/1] - [f0/0 switch2]                   

router f1/0 + f1/1 = Port-channel1 192.168.X.1/24

[server eth0] - [f0/1 switch1]
[server eth1] - [f0/1 switch2]

server eth0 + eth1 = bond0 192.168.X.10/24

[switch3 f0/0] - [f0/2 switch1]
[switch3 f0/1] - [f0/2 switch2]

switch3 f0/0 + f0/1 = Port-channel1

[client1] - [f0/2 switch3]

LAN - [f0/10 switch1 или switch2]  
!!! Можно через неуправляемый switch подключить к обоим коммутаторам
!!! Можно подключить LAN к 15-му порту switch3 (потребуется int f0/1 shut) 
    Можно поменять символ Cloud на Computer

Лабораторные работы: Знакомство с оборудованием Cisco

1.1 Знакомство с интерфейсом GNS

1.2 Знакомство с Cisco CLI

1.3 Настройка router

1.4 Добавление VM client1 в GNS

C:\> ipconfig

C:\> ping 1.1.1.1

Вопросы

  1. Какая команда в Cisco используется для поиска строк, содержащих заданный образец?
  2. Какая клавиша выводит варианты набора команды в Cisco?
  3. Какая клавиша дописывает ключевые слова команды в Cisco?

Модуль 2. Развертывание менеджмент станции

Теория

Лабораторные работы: Настройка Linux server

2.1 Добавление server в GNS

   - Назначить 8Gb RAM и 2 CPU
   - В GNS назначить 2 сетевых адаптера (или 4-ре при использовании bond)
   - При увеличении числа адаптеров после добавления VM, требуется указать их количество в свойствах VM и в свойствах объекта на карте

2.2 Подключение server к switch1 и switch2 в GNS

PS C:\Windows\system32> ping 192.168.X.1

2.3 Настройка базовой конфигурации server

# ifconfig eth0 inet 192.168.X.10/24
# hostnamectl set-hostname server.corpX.un

# bash
# init 6
  или
# netplan apply

# sh conf/dns.sh
...

# cat /etc/bind/corpX.un
$TTL      3h
@         SOA     ns root.ns  1 1d 12h 1w 3h
          NS      ns
          A       192.168.X.10
ns        A       192.168.X.10
server    A       192.168.X.10

router    A       192.168.X.1
switch1   A       192.168.X.51
switch2   A       192.168.X.52
switch3   A       192.168.X.53
# service named restart

# cat /etc/resolv.conf
search corpX.un
nameserver 192.168.X.10    #!!! not 127.0.0.1, need in docker
# host router

# ping ya.ru
# cat /etc/hosts
127.0.0.1 localhost

192.168.X.10 server.corpX.un server

192.168.X.51 switch1
192.168.X.52 switch2
192.168.X.53 switch3
# getent hosts 192.168.X.51

Часть 2. Мониторинг оборудования. Задачи и инструменты

Модуль 3. Управление производительностью

Теория

Лабораторные работы

3.1 Тестирование производительности сети

Host:  172.16.1.254
Login: userX
Pass:  
router#show interface f0/0

router#show interface port-channel 1

3.2 Использование SNMP

router#show processes cpu

3.3 Создание профиля загрузки элементов сети

Вопросы

  1. Назовите характеристики сети, относящиеся к производительности.
  2. Можно ли измерить пропускную способность сети утилитой ping ?
  3. Что обозначает аббревиатура SNMP?
  4. Какой протокол и порт по умолчанию использует агент SNMP для запросов?
  5. Назовите основные команды протокола SNMP.
  6. Какая утилита пакета используется для перебора значений внутри заданного OID’ом диапазона?
  7. Как соотносятся MIB и OID в SNMP?
  8. Как меняется размер базы данных RRD?

Модуль 4. Управление конфигурацией

Теория

Лабораторные работы

4.1 Использование сервиса TFTP

gate.isp.un$ wget -O - http://192.168.X.10:3000

4.2 Использование сервиса RSH и RCP

4.3.Использование сервисов SSH, SCP и Ansible

crypto key generate rsa general-keys modulus 1024

4.4 Регистрация изменений конфигурации

4.5 Протоколирование топологии сети

# cat cdp_save.sh
#!/bin/sh

/usr/bin/ansible sws -m ios_command -a "commands='show cdp nei'" -c local > /srv/tftp/switch.cdp.json
#/usr/bin/ansible sws -m ios_command -a "commands='show cdp nei'" -c network_cli > /srv/tftp/switch.cdp.json

cd /srv/tftp/
/usr/bin/git add *
/usr/bin/git --no-optional-locks status | grep 'modified\|deleted\|new file' | /usr/bin/git commit -a -F -
# crontab -l
0 3 * * * /root/cdp_save.sh >/dev/null 2>&1

4.6 Управление конфигурацией с использованием протокола SNMP

4.7 Использование snmptrap для получения сигнала об изменении конфигурации

Вопросы

  1. Какой протокол и порт по умолчанию использует протокол TFTP?
  2. Какой командой Cisco IOS можно посмотреть содержимое текстового файла, расположенного на TFTP сервере?
  3. Когда нужно настраивать IP адрес на layer 2 коммутаторе?
  4. На каком интерфейсе коммутаторов Cisco настраивается IP адрес?
  5. На каком уровне сетевой модели работают протоколы CDP и LLDP?
  6. Чем значение OID ifAdminStatus отличается от ifOperStatus?

Модуль 5. Управление отказами

Теория

Лабораторные работы

5.1 Настройка уведомлений о проблемах

Развертывание почтового сервера

# ansible-playbook conf/ansible/roles/mail.yml

Мониторинг доступности оборудования и сервисов

Мониторинг количества выданных адресов

server# rsh router show ip dhcp binding

5.2 Управление и анализ журналов

5.3 Использование snmptrap

5.4 Настройка уведомлений в о критических нагрузках

Вопросы

  1. Какой протокол и порт по умолчанию использует протокол Syslog?
  2. Для чего используется тип сообщений в протоколе Syslog?
  3. Какой протокол и порт по умолчанию используется для SNMP trap?
  4. Как работает протокол RMON?

Модуль 6. Учет трафика в сетях Cisco

Теория

Лабораторные работы

Внимание! Посмотрите вебинар

Вопросы

  1. Какие задачи решают сенсоры, коллекторы и анализаторы в протоколе Netflow?
  2. Пригоден ли протокол Netflow как источник данных для систем IDS/IPS?

Модуль 7. Управление безопасностью

Теория

Лабораторные работы

7.1 Использование локальных учетных записей администраторов

7.2 Использование RADUIS для хранения учетных записей администраторов

7.3 Использование TACACS для хранения учетных записей администраторов

7.4 Использование RADUIS для аутентификации пользователей

Бонусная лабораторная работа

7.5 Развертывание систем IDS и IPS

server# cat /etc/network/interfaces
...
auto eth1
iface eth1 inet manual
        up ip link set eth1 up
server# ifup eth1

ИЛИ

# cat /etc/netplan/01-netcfg.yaml
...
    bond1:
      interfaces: [eth2, eth3]
      parameters:
        mode: active-backup
        mii-monitor-interval: 100
        primary: eth2
  ethernets:
...
    eth2: {}
    eth3: {}
switch1#

conf t
interface FastEthernet0/15
shut
no shut
end
server# tcpdump -nni eth1 host 192.168.X.101

server# tcpdump -nni bond1 host 192.168.X.101

Вопросы

  1. Что обозначает аббревиатура AAA?
  2. К чему в модели AAA относятся директивы username, password, login, exec, dot1x, privilege?
  3. Кто является клиентом для RADIUS сервера?
  4. Для чего используется общий секрет между RADIUS сервером и сервером доступа?
  5. Какой протокол и порт по умолчанию использует RADIUS сервер для аутентификации?
  6. Какой протокол и порт по умолчанию использует RADIUS сервер для учета?
  7. Может ли сервер RADIUS использоваться для управления правами доступа администраторов в Cisco CLI?
  8. Какой трафик в стандарте 802.1X разрешен для неавторизованного клиента?
  9. Какой протокол и порт по умолчанию использует TACACS+ сервер?
  10. В чем преимущества и недостатки протоколов RADIUS и TACACS+ ?
  11. Можно ли использовать порт коммутатора Cisco одновременно и для SPAN и для передачи трафика адресованного подключенной к этому порту рабочей станции?
  12. Пригодна ли технология Cisco SPAN как источник данных для систем IDS/IPS?
  13. Почему системы IPS затруднительно использовать для блокировки передачи вирусных файлов по сети?

Часть 3. Совместное использование Linux систем с оборудованием Cisco

Модуль 8. Использование виртуальных сетей (VLAN)

Теория

Лабораторные работы

server# sh conf/dhcp.sh

Вопросы

  1. Что обозначает термин Native VLAN?
  2. Как увеличивается размер фрейма в протоколе 802.1q?

Модуль 9. Управление маршрутизацией

Теория

Лабораторные работы

# systemctl disable docker

# init 6
iptables -I DOCKER-USER -i src_if -o dst_if -j ACCEPT 

Вопросы

  1. Какие протоколы динамической маршрутизации Вам известны?
  2. Чем характеризуется протокол OSPF?
  3. Чем характеризуется протокол BGP?

Модуль 10. Тестирование отказоустойчивости ядра сети

  1. Сохраняем конфигурацию и отключаем switch1
  2. Переключаем LAN на 10-й порт switch2 или отключаем интерфейс f0/0 и включаем f0/1 на switch3
  3. Включаем switch2
  4. Отключаем интерфейс eth0 на server Настройка сети в Linux
  5. Подключаемся по ssh к server (сессия может даже не прерваться:)
  6. Отключаем интерфейс f1/0 и включаем f1/1 на router
  7. Проверяем связь с Internet с server
  8. Проводим базовую настройку Оборудование уровня 2 Cisco Catalyst switch2
  9. Проводим Настройка SSH на switch2
  10. Через Использование playbook ansible (aaa local) и Программирование диалогов expect обновляем конфигурацию на switch2
  11. Настройка интерфейсов trunk на интерфейсах f0/1 и f0/2 на switch2
  12. Проверяем доступ в Internet на client1
  13. Настраиваем SPAN на switch2, отключаем интерфейс eth2 (Настройка сети в Linux) на server и проверяем работу IPS