общие_настройки_сетевого_оборудования_cisco

This is an old revision of the document!


Общие настройки сетевого оборудования Cisco

Настройка времени

ntp server 172.16.1.254

clock timezone MSK 3

service timestamps log datetime localtime

Отключение http сервера

no ip http server

Ограничение доступа к vty

no access-list 1
! access-list 1 permit host 192.168.X.101
access-list 1 permit host 192.168.X.10
access-list 1 deny any

line vty 0 15
! no login ! for no password access
! privilege level 15
 access-class 1 in
end

Настройка SSH

Включение сервиса

Вариант 1

ip domain-name corpX.un
crypto key generate rsa general-keys modulus 1024
ip ssh version 2

username root privilege 15 secret cisco

line vty 0 15
login local
transport input ssh

Вариант 2

crypto key generate rsa label MY_KEYS modulus 1024
ip ssh rsa keypair-name MY_KEYS

Включение scp

ip scp server enable

Аутентификация по публичному ключу

root@helper:~# cat .ssh/id_rsa.pub
...

!!! Разбить вывод на несколько строк !!!

ip ssh pubkey-chain
username rancid
key-string
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9KLTWwi8BTLMW6r79wgrfXrUOwai/smc
...
36w0k+JeK/WqJr5X80yX7fLbP root@helper
exit
exit
exit

Настройка rcmd сервисов

Включение сервисов

ip rcmd rcp-enable
ip rcmd rsh-enable

Настройка прав доступа

! recomend for security and DNS troubles
ip host server 192.168.X.10

ip rcmd remote-host root server root enable

Управление log сообщениями

Вывод логов на экран telnet сессии

router# show logging

router# terminal monitor

Вывод логов на экран console сессии

router(config)# logging console

Отправка логов на syslog сервер

router(config)#logging facility local0

router(config)#logging host server

Настройка snmp агента

Разрешение на чтение

router(config)# snmp-server community public RO

Разрешение на запись

switch(config)# snmp-server community write RW

Настройка адреса перехватчика trap сообщений

switch(config)# snmp-server host server writetrap

Настройка генерации trap-ов

switch(config)# snmp-server enable traps snmp linkdown linkup

switch(config)# snmp-server enable traps config
switch(config)# snmp-server enable traps config-copy

Использование RMON подсистемы протокола SNMP

Мониторинг изменения загрузки интерфейса router FastEthernet1/0

Определение OID (таблица соответствий имен переменных их числовым значениям в оборудовании может быть не полной)

server# snmptranslate .1.3.6.1.2.1.2.2.1
IF-MIB::ifEntry

server# snmptranslate -Tp .1.3.6.1.2.1.2.2.1

server# snmptranslate .1.3.6.1.2.1.2.2.1.10
IF-MIB::ifInOctets

server# snmpwalk -c public -v2c router ifDescr
...
IF-MIB::ifDescr.2 = STRING: FastEthernet1/0
...

server# snmpget -c public -v2c router ifEntry.10.2

server# snmpget -c public -v2c router ifInOctets.2

Настройка router:

snmp-server host server writetrap

rmon event 1001 log trap writetrap description "Critical input bandwith int f1/1" owner config
rmon event 1002 log trap writetrap description "Ok input bandwith int f1/1" owner config

rmon alarm 2002 1.3.6.1.2.1.2.2.1.10.3 8 delta rising-threshold 900000 1001 falling-threshold 300000 1002 owner config

Коментарии:

  • event - кому посылать (в trap с комьюнити writetrap) и описание события
  • alarm - причины возникновения trap и привязка к event
  • Номер alarm (2002) присутствует в OID trap
  • 1.3.6.1.2.1.2.2.1.10.3 превратится в ifEntry.10.3 - (тоже что и ifInOctets.3 но коммутатор это не понимает)
  • 8 - период расчета в секундах (удобно, получаем вместо октет/секунду - бит/секунду)
  • delta - считать относительно предыдущего параметра
  • rising-threshold 900000 1001 - при превышении разницы значений счетчика на 900000 (немного меньше 1Мбита) генерировать event 1001
  • falling-threshold 10000 1002 - при уменьшении разницы значений счетчика на 300000 генерировать event 1002

Тестирование:

C:\>ping -n 1000 -l 1500 -w 1 172.16.1.254

server# tail -f /tmp/traps

Мониторинг загрузки процессора

rmon event 4 log trap public description "Cpu hight load"
rmon alarm 8 .1.3.6.1.4.1.9.2.1.56.0 10 absolute rising-threshold 80 4 falling-threshold 6 20
общие_настройки_сетевого_оборудования_cisco.1612939627.txt.gz · Last modified: 2021/02/10 09:47 by val