общие_настройки_сетевого_оборудования_cisco

This is an old revision of the document!


Общие настройки сетевого оборудования Cisco

Настройка времени

ntp server 172.16.1.254

clock timezone MSK 3

service timestamps log datetime localtime

Отключение http сервера

no ip http server

Ограничение доступа к vty

no access-list 1
! access-list 1 permit host 192.168.X.101
access-list 1 permit host 192.168.X.10
access-list 1 deny any

line vty 0 15
! no login ! for no password access
! privilege level 15
 access-class 1 in
end

Настройка SSH

Включение сервиса

Вариант 1

ip domain-name corpX.un
crypto key generate rsa general-keys modulus 1024
ip ssh version 2

username root privilege 15 secret cisco

line vty 0 15
login local
transport input ssh

Вариант 2

crypto key generate rsa label MY_KEYS modulus 1024
ip ssh rsa keypair-name MY_KEYS

Включение scp

ip scp server enable

Аутентификация по публичному ключу

root@helper:~# cat .ssh/id_rsa.pub
...

!!! Разбить вывод на несколько строк !!!

ip ssh pubkey-chain
username rancid
key-string
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9KLTWwi8BTLMW6r79wgrfXrUOwai/smc
...
36w0k+JeK/WqJr5X80yX7fLbP root@helper
exit
exit
exit

Настройка rcmd сервисов

Включение сервисов

ip rcmd rcp-enable
ip rcmd rsh-enable

Настройка прав доступа

! recomend for security and DNS troubles
ip host server 192.168.X.10

ip rcmd remote-host root server root enable

Управление log сообщениями

Вывод логов на экран telnet сессии

router# show logging

router# terminal monitor

Вывод логов на экран console сессии

router(config)# logging console

Отправка логов на syslog сервер

router(config)#logging facility local0

router(config)#logging host server

Настройка snmp агента

Разрешение на чтение

router(config)# snmp-server community public RO

Разрешение на запись

switch(config)# snmp-server community write RW

Настройка адреса перехватчика trap сообщений

switch(config)# snmp-server host server writetrap

Настройка генерации trap-ов

switch(config)# snmp-server enable traps snmp linkdown linkup

switch(config)# snmp-server enable traps config
switch(config)# snmp-server enable traps config-copy

Использование RMON подсистемы протокола SNMP

Мониторинг изменения загрузки интерфейса router FastEthernet1/1

Настройка router:

snmp-server host server writetrap

rmon event 1001 log trap writetrap description "Critical out bandwith int f1/0" owner config
rmon event 1002 log trap writetrap description "Ok out bandwith int f1/0" owner config

rmon alarm 2002 1.3.6.1.2.1.2.2.1.16.2 8 delta rising-threshold 8000000 1001 falling-threshold 3000000 1002 owner config

Коментарии:

  • event - кому посылать (в trap с комьюнити writetrap) и описание события
  • alarm - причины возникновения trap и привязка к event
  • Номер alarm (2002) присутствует в OID trap
  • 1.3.6.1.2.1.2.2.1.10.3 превратится в ifEntry.10.3 - (тоже что и ifInOctets.3 но коммутатор это не понимает)
  • 8 - период расчета в секундах (удобно, получаем вместо октет/секунду - бит/секунду)
  • delta - считать относительно предыдущего параметра
  • rising-threshold 900000 1001 - при превышении разницы значений счетчика на 900000 (немного меньше 1Мбита) генерировать event 1001
  • falling-threshold 10000 1002 - при уменьшении разницы значений счетчика на 300000 генерировать event 1002

Тестирование:

gate.isp.un$ iperf -c server.corpX.un -p 5000+X -u -t 600 -b 1M

server# tcpdump -i eth1 -s0 -A -n port 162

Мониторинг загрузки процессора

rmon event 4 log trap public description "Cpu hight load"
rmon alarm 8 1.3.6.1.4.1.9.2.1.56.0 10 absolute rising-threshold 80 4 falling-threshold 6 20
общие_настройки_сетевого_оборудования_cisco.1627019162.txt.gz · Last modified: 2021/07/23 08:46 by val