Linux. Мониторинг оборудования и интеграция с Cisco
Программа курса
Список ПО для установки в перерывах
-
-
ansible-playbook conf/ansible/roles/mail.yml
-
Часть 1. Использование GNS для обучения работе с оборудованием Cisco
Модуль 0. Подготовка стенда в классе.
Узнать свой номер стенда X=?
Удалить VM с прошлых курсов
Удалить профили putty
Отключить не используемые адаптеры
Проверить наличие дистрибутивов и образов
Модуль 1. Развертывание сети предприятия.
Теория
Схема стенда
ISP - [f0/0 router] 172.16.1.X/24
[router f1/0] - [f0/0 switch1]
[router f1/1] - [f0/0 switch2]
router f1/0 + f1/1 = Port-channel1 192.168.X.1/24
[server eth0] - [f0/1 switch1]
[server eth1] - [f0/1 switch2]
server eth0 + eth1 = bond0 192.168.X.10/24
[switch3 f0/0] - [f0/2 switch1]
[switch3 f0/1] - [f0/2 switch2]
switch3 f0/0 + f0/1 = Port-channel1
[client1] - [f0/2 switch3]
LAN - [f0/10 switch1 или switch2]
!!! Можно через неуправляемый switch подключить к обоим коммутаторам
!!! Можно подключить LAN к 15-му порту switch3 (потребуется int f0/1 shut)
Можно поменять символ Cloud на Computer
Лабораторные работы: Знакомство с оборудованием Cisco
1.1 Знакомство с интерфейсом GNS
1.2 Знакомство с Cisco CLI
1.3 Настройка router
1.4 Добавление VM client1 в GNS
Добавляем и подключаем switch1, switch2 и switch3
Добавляем и подключаем Vbox VM client1
Запускаем switch1 и switch3 без настройки
C:\> ipconfig
C:\> ping 1.1.1.1
Вопросы
Какая команда в Cisco используется для поиска строк, содержащих заданный образец?
Какая клавиша выводит варианты набора команды в Cisco?
Какая клавиша дописывает ключевые слова команды в Cisco?
Модуль 2. Развертывание менеджмент станции
Теория
Лабораторные работы: Настройка Linux server
2.1 Добавление server в GNS
- Назначить 8Gb RAM и 2 CPU
- В GNS назначить 2 сетевых адаптера (или 4-ре при использовании bond)
- При увеличении числа адаптеров после добавления VM, требуется указать их количество в свойствах VM и в свойствах объекта на карте
2.2 Подключение server к switch1 и switch2 в GNS
PS C:\Windows\system32> ping 192.168.X.1
2.3 Настройка базовой конфигурации server
# ifconfig eth0 inet 192.168.X.10/24
# hostnamectl set-hostname server.corpX.un
# bash
# init 6
или
# netplan apply
# sh conf/dns.sh
...
# cat /etc/bind/corpX.un
$TTL 3h
@ SOA ns root.ns 1 1d 12h 1w 3h
NS ns
A 192.168.X.10
ns A 192.168.X.10
server A 192.168.X.10
router A 192.168.X.1
switch1 A 192.168.X.51
switch2 A 192.168.X.52
switch3 A 192.168.X.53
# service named restart
# cat /etc/resolv.conf
search corpX.un
nameserver 192.168.X.10 #!!! not 127.0.0.1, need in docker
# host router
# ping ya.ru
# cat /etc/hosts
127.0.0.1 localhost
192.168.X.10 server.corpX.un server
192.168.X.51 switch1
192.168.X.52 switch2
192.168.X.53 switch3
# getent hosts 192.168.X.51
Часть 2. Мониторинг оборудования. Задачи и инструменты
Модуль 3. Управление производительностью
Теория
Лабораторные работы
3.1 Тестирование производительности сети
Host: gate.isp.un
Login: userX
Pass:
-
-
Примечание1: для чистоты замеров можно остановить client1
Примечание2: в GNS, исходящий трафик более 100К характеризуется увеличивающимися потерями (до 90 процентов на 1Мб), с входящим проблем не замечено
router#show interface f0/0
router#show interface port-channel 1
3.2 Использование SNMP
router#show processes cpu
3.3 Создание профиля загрузки элементов сети
-
Сервис MRTG (демонстрирует преподаватель за время установки Prometheus)
Сервис Cacti (демонстрирует преподаватель за время установки Docker и Grafana)
-
-
-
Вопросы
Назовите характеристики сети, относящиеся к производительности.
Можно ли измерить пропускную способность сети утилитой ping ?
Что обозначает аббревиатура SNMP?
Какой протокол и порт по умолчанию использует агент SNMP для запросов?
Назовите основные команды протокола SNMP.
Какая утилита пакета используется для перебора значений внутри заданного OID’ом диапазона?
Как соотносятся MIB и OID в SNMP?
Как меняется размер базы данных RRD?
Модуль 4. Управление конфигурацией
Теория
Лабораторные работы
4.1 Использование сервиса TFTP
gate.isp.un$ wget -O - http://192.168.X.10:3000
4.2 Использование сервиса RSH и RCP
4.3.Использование сервисов SSH, SCP и Ansible
-
Настройка SSH на switch1 и switch3, (можно не включать сервис SCP)
При выключении коммутатора в его конфигурации не сохраняются ключи ssh, поэтому, после включения, необходимо:
crypto key generate rsa general-keys modulus 1024
4.4 Регистрация изменений конфигурации
4.5 Протоколирование топологии сети
# cat cdp_save.sh
#!/bin/sh
/usr/bin/ansible sws -m ios_command -a "commands='show cdp nei'" -c local > /srv/tftp/switch.cdp.json
#/usr/bin/ansible sws -m ios_command -a "commands='show cdp nei'" -c network_cli > /srv/tftp/switch.cdp.json
cd /srv/tftp/
/usr/bin/git add *
/usr/bin/git --no-optional-locks status | grep 'modified\|deleted\|new file' | /usr/bin/git commit -a -F -
# crontab -l
0 3 * * * /root/cdp_save.sh >/dev/null 2>&1
4.6 Управление конфигурацией с использованием протокола SNMP
4.7 Использование snmptrap для получения сигнала об изменении конфигурации
-
-
Настройка snmptrapd сервиса на резервное копирование конфигурации (демонстрирует преподаватель, далее будут варианты решения этой же задачи с Fail2Ban и ELK Logstash)
Вопросы
Какой протокол и порт по умолчанию использует протокол TFTP?
Какой командой Cisco IOS можно посмотреть содержимое текстового файла, расположенного на TFTP сервере?
Когда нужно настраивать IP адрес на layer 2 коммутаторе?
На каком интерфейсе коммутаторов Cisco настраивается IP адрес?
На каком уровне сетевой модели работают протоколы CDP и LLDP?
Чем значение OID ifAdminStatus отличается от ifOperStatus?
Модуль 5. Управление отказами
Теория
Лабораторные работы
5.1 Настройка уведомлений о проблемах
Развертывание почтового сервера
# ansible-playbook conf/ansible/roles/mail.yml
Мониторинг доступности оборудования и сервисов
Мониторинг количества выданных адресов
server# rsh router show ip dhcp binding
5.2 Управление и анализ журналов
!!! Методическая рекомендация - запустить инсталляцию
Сервисы ELK Elasticsearch, Kibana и Logstash
-
-
Копирование журналов коммутаторов на STDOUT и в Elasticsearch сервисом
Logstash
-
Резервное копирование конфигупации с использованием анализа журнала сервисом
Logstash
5.3 Использование snmptrap
5.4 Настройка уведомлений в о критических нагрузках
Вопросы
Какой протокол и порт по умолчанию использует протокол Syslog?
Для чего используется тип сообщений в протоколе Syslog?
Какой протокол и порт по умолчанию используется для SNMP trap?
Как работает протокол RMON?
Модуль 6. Учет трафика в сетях Cisco
Теория
Лабораторные работы
Внимание! Посмотрите вебинар
Вопросы
Какие задачи решают сенсоры, коллекторы и анализаторы в протоколе Netflow?
Пригоден ли протокол Netflow как источник данных для систем IDS/IPS?
Модуль 7. Управление безопасностью
Теория
Лабораторные работы
7.1 Использование локальных учетных записей администраторов
-
-
Настраиваем новую модель AAA с локальной базой пользователей и настройками line con через
Использование playbook
7.2 Использование RADUIS для хранения учетных записей администраторов
7.3 Использование TACACS для хранения учетных записей администраторов
7.4 Использование RADUIS для аутентификации пользователей
Бонусная лабораторная работа
Настройка протокола
EAP для 802.1x на FreeRADIUS
-
-
Настройка
802.1X authentication в Windows (оставить только проверку подлинности пользователя, без компьютера!!! Может понадобиться “stut/no shut” для порта коммутатора)
7.5 Развертывание систем IDS и IPS
Настройка
SPAN на switch1 (может потребоваться остановить/запустить server в GNS)
server# cat /etc/network/interfaces
...
auto eth1
iface eth1 inet manual
up ip link set eth1 up
server# ifup eth1
ИЛИ
# cat /etc/netplan/01-netcfg.yaml
...
bond1:
interfaces: [eth2, eth3]
parameters:
mode: active-backup
mii-monitor-interval: 100
primary: eth2
ethernets:
...
eth2: {}
eth3: {}
switch1#
conf t
interface FastEthernet0/15
shut
no shut
end
server# tcpdump -nni eth1 host 192.168.X.101
server# tcpdump -nni bond1 host 192.168.X.101
Вопросы
Что обозначает аббревиатура AAA?
К чему в модели AAA относятся директивы username, password, login, exec, dot1x, privilege?
Кто является клиентом для RADIUS сервера?
Для чего используется общий секрет между RADIUS сервером и сервером доступа?
Какой протокол и порт по умолчанию использует RADIUS сервер для аутентификации?
Какой протокол и порт по умолчанию использует RADIUS сервер для учета?
Может ли сервер RADIUS использоваться для управления правами доступа администраторов в Cisco CLI?
Какой трафик в стандарте 802.1X разрешен для неавторизованного клиента?
Какой протокол и порт по умолчанию использует TACACS+ сервер?
В чем преимущества и недостатки протоколов RADIUS и TACACS+ ?
Можно ли использовать порт коммутатора Cisco одновременно и для SPAN и для передачи трафика адресованного подключенной к этому порту рабочей станции?
Пригодна ли технология Cisco SPAN как источник данных для систем IDS/IPS?
Почему системы IPS затруднительно использовать для блокировки передачи вирусных файлов по сети?
Часть 3. Совместное использование Linux систем с оборудованием Cisco
Модуль 8. Использование виртуальных сетей (VLAN)
Теория
Лабораторные работы
Вопросы
Что обозначает термин Native VLAN?
Как увеличивается размер фрейма в протоколе 802.1q?
Модуль 9. Управление маршрутизацией
Теория
Лабораторные работы
# systemctl disable docker
# init 6
iptables -I DOCKER-USER -i src_if -o dst_if -j ACCEPT
Вопросы
Какие протоколы динамической маршрутизации Вам известны?
Чем характеризуется протокол OSPF?
Чем характеризуется протокол BGP?
Модуль 10. Тестирование отказоустойчивости ядра сети
Сохраняем конфигурацию и отключаем switch1
Переключаем
LAN на 10-й порт switch2 или отключаем интерфейс f0/0 и включаем f0/1 на switch3
Включаем switch2
-
Подключаемся по ssh к server (сессия может даже не прерваться:)
Отключаем интерфейс f1/0 и включаем f1/1 на router
Проверяем связь с Internet с server
-
-
-
-
Проверяем доступ в Internet на client1
-