общие_настройки_сетевого_оборудования_cisco

This is an old revision of the document!


Общие настройки сетевого оборудования Cisco

Настройка времени

ntp server server

clock timezone MSK 3

service timestamps log datetime localtime year

Отключение http сервера

no ip http server

Ограничение доступа к vty

no access-list 1
! access-list 1 permit host 192.168.X.101
access-list 1 permit host 192.168.X.10
access-list 1 deny any

line vty 0 15
! no login ! for no password access
! privilege level 15
 access-class 1 in
end

Настройка SSH

Включение сервиса

Вариант 1

ip domain-name corpX.un
crypto key generate rsa general-keys modulus 1024
ip ssh version 2

username root privilege 15 secret cisco

line vty 0 15
login local
transport input ssh

Вариант 2

crypto key generate rsa label MY_KEYS modulus 1024
ip ssh rsa keypair-name MY_KEYS

Включение scp

ip scp server enable

Аутентификация по публичному ключу

root@helper:~# cat .ssh/id_rsa.pub
...

!!! Разбить вывод на несколько строк !!!

ip ssh pubkey-chain
username rancid
key-string
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9KLTWwi8BTLMW6r79wgrfXrUOwai/smc
...
36w0k+JeK/WqJr5X80yX7fLbP root@helper
exit
exit
exit

Настройка rcmd сервисов

Включение сервисов

ip rcmd rcp-enable
ip rcmd rsh-enable

Настройка прав доступа

! recomend for security and DNS troubles
ip host server 192.168.X.10

ip rcmd remote-host root server root enable

Управление log сообщениями

Вывод логов на экран telnet сессии

router# show logging

router# terminal monitor

Вывод логов на экран console сессии

router(config)# logging console

Отправка логов на syslog сервер

cisco(config)#logging facility local0

cisco(config)#logging host server ! transport udp port 8514

Настройка snmp агента

Разрешение на чтение

router(config)# snmp-server community public RO

Разрешение на запись

switch(config)# snmp-server community write RW

Настройка адреса перехватчика trap сообщений

switch(config)# snmp-server host server writetrap

Настройка генерации trap-ов

switch(config)# snmp-server enable traps snmp linkdown linkup

switch(config)# snmp-server enable traps config
switch(config)# snmp-server enable traps config-copy

Использование RMON подсистемы протокола SNMP

Мониторинг изменения загрузки интерфейса router FastEthernet1/1

Настройка router:

snmp-server host server writetrap

rmon event 1001 log trap writetrap description "Critical out bandwith LAN int"
rmon event 1002 log trap writetrap description "Ok out bandwith LAN int"

rmon alarm 2002 1.3.6.1.2.1.2.2.1.16.2 8 delta rising-threshold 8000000 1001 falling-threshold 3000000 1002
!rmon alarm 2002 ifEntry.16.5 8 delta rising-threshold 8000000 1001 falling-threshold 3000000 1002

router#show rmon alarms

Коментарии:

  • На стенде не работает для входящего трафика
  • event - кому посылать (в trap с комьюнити writetrap) и описание события
  • alarm - причины возникновения trap и привязка к event
  • Номер alarm (2002) присутствует в OID trap
  • 1.3.6.1.2.1.2.2.1.10/16.2 превратится в ifEntry.10/16.3 - (тоже что и if(In/Out)Octets.3 но router такую запись OID не понимает)
  • 8 - период расчета в секундах (удобно, получаем вместо октет/секунду - бит/секунду)
  • delta - считать относительно предыдущего параметра
  • rising-threshold 900000 1001 - при превышении разницы значений счетчика на 900000 (немного меньше 1Мбита) генерировать event 1001
  • falling-threshold 300000 1002 - при уменьшении разницы значений счетчика на 300000 генерировать event 1002

Тестирование:

gate.isp.un$ iperf -c server.corpX.un -p 5000+X -u -t 600 -b 1M

server# tcpdump -i eth1 -s0 -A -n port 162

Мониторинг загрузки процессора

rmon event 4 log trap public description "Cpu hight load"
rmon alarm 8 1.3.6.1.4.1.9.2.1.56.0 10 absolute rising-threshold 80 4 falling-threshold 6 20
общие_настройки_сетевого_оборудования_cisco.1646306556.txt.gz · Last modified: 2022/03/03 14:22 by val