linux._мониторинг_оборудования_и_интеграция_с_cisco

Table of Contents

Linux. Мониторинг оборудования и интеграция с Cisco

Программа курса

Список ПО для установки в перерывах

  1. ansible-playbook conf/ansible/roles/mail.yml
  2. Сервисы ELK Elasticsearch, Kibana и Logstash

Часть 1. Использование GNS для обучения работе с оборудованием Cisco

Модуль 0. Подготовка стенда в классе.

  • Узнать свой номер стенда X=?
  • Удалить VM с прошлых курсов
  • Удалить профили putty
  • Отключить не используемые адаптеры
  • Проверить наличие дистрибутивов и образов

Модуль 1. Развертывание сети предприятия.

Теория

Схема стенда

ISP - [f0/0 router] 172.16.1.X/24

[router f1/0] - [f0/0 switch1]
[router f1/1] - [f0/0 switch2]                   

router f1/0 + f1/1 = Port-channel1 192.168.X.1/24

[server eth0] - [f0/1 switch1]
[server eth1] - [f0/1 switch2]

server eth0 + eth1 = bond0 192.168.X.10/24

[switch3 f0/0] - [f0/2 switch1]
[switch3 f0/1] - [f0/2 switch2]

switch3 f0/0 + f0/1 = Port-channel1

[client1] - [f0/2 switch3]

LAN - [f0/10 switch1 или switch2]  
!!! Можно через неуправляемый switch подключить к обоим коммутаторам
!!! Можно подключить LAN к 15-му порту switch3 (потребуется int f0/1 shut) 
    Можно поменять символ Cloud на Computer

Лабораторные работы: Знакомство с оборудованием Cisco

1.1 Знакомство с интерфейсом GNS

  • Методическая рекомендация: запустить импорт Vbox Win VM client1
  • Добавляем router и подключаем его к isp

1.2 Знакомство с Cisco CLI

1.3 Настройка router

1.4 Добавление VM client1 в GNS

  • Добавляем и подключаем switch1, switch2 и switch3
  • Добавляем и подключаем Vbox VM client1
  • Запускаем switch1 и switch3 без настройки
C:\> ipconfig

C:\> ping 1.1.1.1

Вопросы

  1. Какая команда в Cisco используется для поиска строк, содержащих заданный образец?
  2. Какая клавиша выводит варианты набора команды в Cisco?
  3. Какая клавиша дописывает ключевые слова команды в Cisco?

Модуль 2. Развертывание менеджмент станции

Теория

Лабораторные работы: Настройка Linux server

2.1 Добавление server в GNS

   - Назначить 8Gb RAM и 2 CPU
   - В GNS назначить 2 сетевых адаптера (или 4-ре при использовании bond)
   - При увеличении числа адаптеров после добавления VM, требуется указать их количество в свойствах VM и в свойствах объекта на карте

2.2 Подключение server к switch1 и switch2 в GNS

  • Добавить server и подключить его к switch1 и switch2
  • Добавить LAN в схему стенда
  • Выключить и включить switch1 (и switch3 если LAN через него)
  • Провести Настройка IP на хост системе и проверить ее связь с router
PS C:\Windows\system32> ping 192.168.X.1

2.3 Настройка базовой конфигурации server

# ifconfig eth0 inet 192.168.X.10/24
  • Подключаемся ssh к server
# hostnamectl set-hostname server.corpX.un

# bash
# init 6
  или
# netplan apply

# sh conf/dns.sh
...

# cat /etc/bind/corpX.un
$TTL      3h
@         SOA     ns root.ns  1 1d 12h 1w 3h
          NS      ns
          A       192.168.X.10
ns        A       192.168.X.10
server    A       192.168.X.10

router    A       192.168.X.1
switch1   A       192.168.X.51
switch2   A       192.168.X.52
switch3   A       192.168.X.53
# service named restart

# cat /etc/resolv.conf
search corpX.un
nameserver 192.168.X.10    #!!! not 127.0.0.1, need in docker
# host router

# ping ya.ru
# cat /etc/hosts
127.0.0.1 localhost

192.168.X.10 server.corpX.un server

192.168.X.51 switch1
192.168.X.52 switch2
192.168.X.53 switch3
# getent hosts 192.168.X.51

Часть 2. Мониторинг оборудования. Задачи и инструменты

Модуль 3. Управление производительностью

Теория

Лабораторные работы

3.1 Тестирование производительности сети

  • Утилита ping
Host:  gate.isp.un
Login: userX
Pass:  
  • Сервис speedtest демонстрирует преподаватель
  • Примечание1: для чистоты замеров можно остановить client1
  • Примечание2: в GNS, исходящий трафик более 100К характеризуется увеличивающимися потерями (до 90 процентов на 1Мб), с входящим проблем не замечено
router#show interface f0/0

router#show interface port-channel 1

3.2 Использование SNMP

router#show processes cpu

3.3 Создание профиля загрузки элементов сети

Вопросы

  1. Назовите характеристики сети, относящиеся к производительности.
  2. Можно ли измерить пропускную способность сети утилитой ping ?
  3. Что обозначает аббревиатура SNMP?
  4. Какой протокол и порт по умолчанию использует агент SNMP для запросов?
  5. Назовите основные команды протокола SNMP.
  6. Какая утилита пакета используется для перебора значений внутри заданного OID’ом диапазона?
  7. Как соотносятся MIB и OID в SNMP?
  8. Как меняется размер базы данных RRD?

Модуль 4. Управление конфигурацией

Теория

Лабораторные работы

4.1 Использование сервиса TFTP

4.2 Использование сервиса RSH и RCP

4.3.Использование сервисов SSH, SCP и Ansible

crypto key generate rsa general-keys modulus 1024

4.4 Регистрация изменений конфигурации

4.5 Протоколирование топологии сети

# cat cdp_save.sh
#!/bin/sh

/usr/bin/ansible sws -m ios_command -a "commands='show cdp nei'" -c local > /srv/tftp/switch.cdp.json
#/usr/bin/ansible sws -m ios_command -a "commands='show cdp nei'" -c network_cli > /srv/tftp/switch.cdp.json

cd /srv/tftp/
/usr/bin/git add *
/usr/bin/git --no-optional-locks status | grep 'modified\|deleted\|new file' | /usr/bin/git commit -a -F -
# crontab -l
0 3 * * * /root/cdp_save.sh >/dev/null 2>&1

4.6 Управление конфигурацией с использованием протокола SNMP

4.7 Использование snmptrap для получения сигнала об изменении конфигурации

Вопросы

  1. Какой протокол и порт по умолчанию использует протокол TFTP?
  2. Какой командой Cisco IOS можно посмотреть содержимое текстового файла, расположенного на TFTP сервере?
  3. Когда нужно настраивать IP адрес на layer 2 коммутаторе?
  4. На каком интерфейсе коммутаторов Cisco настраивается IP адрес?
  5. На каком уровне сетевой модели работают протоколы CDP и LLDP?
  6. Чем значение OID ifAdminStatus отличается от ifOperStatus?

Модуль 5. Управление отказами

Теория

Лабораторные работы

5.1 Настройка уведомлений о проблемах

Развертывание почтового сервера

# ansible-playbook conf/ansible/roles/mail.yml

Мониторинг доступности оборудования и сервисов

Мониторинг количества выданных адресов

server# rsh router show ip dhcp binding

5.2 Управление и анализ журналов

  • !!! Методическая рекомендация - запустить инсталляцию Сервисы ELK Elasticsearch, Kibana и Logstash
  • Отключение резервного копирования в Настройка snmptrapd сервиса
  • Резервное копирование конфигупации с использованием анализа журнала сервисом Logstash

5.3 Использование snmptrap

5.4 Настройка уведомлений в о критических нагрузках

Вопросы

  1. Какой протокол и порт по умолчанию использует протокол Syslog?
  2. Для чего используется тип сообщений в протоколе Syslog?
  3. Какой протокол и порт по умолчанию используется для SNMP trap?
  4. Как работает протокол RMON?

Модуль 6. Учет трафика в сетях Cisco

Теория

Лабораторные работы

Внимание! Посмотрите вебинар

Вопросы

  1. Какие задачи решают сенсоры, коллекторы и анализаторы в протоколе Netflow?
  2. Пригоден ли протокол Netflow как источник данных для систем IDS/IPS?

Модуль 7. Управление безопасностью

Теория

Лабораторные работы

7.1 Использование локальных учетных записей администраторов

7.2 Использование RADUIS для хранения учетных записей администраторов

7.3 Использование TACACS для хранения учетных записей администраторов

7.4 Использование RADUIS для аутентификации пользователей

Бонусная лабораторная работа

7.5 Развертывание систем IDS и IPS

  • Настройка SPAN на switch1 (может потребоваться остановить/запустить server в GNS)
server# cat /etc/network/interfaces
...
auto eth1
iface eth1 inet manual
        up ip link set eth1 up
server# ifup eth1

ИЛИ

# cat /etc/netplan/01-netcfg.yaml
...
    bond1:
      interfaces: [eth2, eth3]
      parameters:
        mode: active-backup
        mii-monitor-interval: 100
        primary: eth2
  ethernets:
...
    eth2: {}
    eth3: {}
switch1#

conf t
interface FastEthernet0/15
shut
no shut
end
server# tcpdump -nni eth1 host 192.168.X.101

server# tcpdump -nni bond1 host 192.168.X.101

Вопросы

  1. Что обозначает аббревиатура AAA?
  2. К чему в модели AAA относятся директивы username, password, login, exec, dot1x, privilege?
  3. Кто является клиентом для RADIUS сервера?
  4. Для чего используется общий секрет между RADIUS сервером и сервером доступа?
  5. Какой протокол и порт по умолчанию использует RADIUS сервер для аутентификации?
  6. Какой протокол и порт по умолчанию использует RADIUS сервер для учета?
  7. Может ли сервер RADIUS использоваться для управления правами доступа администраторов в Cisco CLI?
  8. Какой трафик в стандарте 802.1X разрешен для неавторизованного клиента?
  9. Какой протокол и порт по умолчанию использует TACACS+ сервер?
  10. В чем преимущества и недостатки протоколов RADIUS и TACACS+ ?
  11. Можно ли использовать порт коммутатора Cisco одновременно и для SPAN и для передачи трафика адресованного подключенной к этому порту рабочей станции?
  12. Пригодна ли технология Cisco SPAN как источник данных для систем IDS/IPS?
  13. Почему системы IPS затруднительно использовать для блокировки передачи вирусных файлов по сети?

Часть 3. Совместное использование Linux систем с оборудованием Cisco

Модуль 8. Использование виртуальных сетей (VLAN)

Теория

Лабораторные работы

Вопросы

  1. Что обозначает термин Native VLAN?
  2. Как увеличивается размер фрейма в протоколе 802.1q?

Модуль 9. Управление маршрутизацией

Теория

Лабораторные работы

  • !!! Потребовалось
# systemctl disable docker

# init 6
  • Попробовать совет Дмитрия Евгеньевича, найденный в статье Docker and iptables
iptables -I DOCKER-USER -i src_if -o dst_if -j ACCEPT 

Вопросы

  1. Какие протоколы динамической маршрутизации Вам известны?
  2. Чем характеризуется протокол OSPF?
  3. Чем характеризуется протокол BGP?

Модуль 10. Тестирование отказоустойчивости ядра сети

  1. Сохраняем конфигурацию и отключаем switch1
  2. Переключаем LAN на 10-й порт switch2 или отключаем интерфейс f0/0 и включаем f0/1 на switch3
  3. Включаем switch2
  4. Отключаем интерфейс eth0 на server Настройка сети в Linux
  5. Подключаемся по ssh к server (сессия может даже не прерваться:)
  6. Отключаем интерфейс f1/0 и включаем f1/1 на router
  7. Проверяем связь с Internet с server
  8. Проводим базовую настройку Оборудование уровня 2 Cisco Catalyst switch2
  9. Проводим Настройка SSH на switch2
  10. Через Использование playbook ansible (aaa local) и Программирование диалогов expect обновляем конфигурацию на switch2
  11. Настройка интерфейсов trunk на интерфейсах f0/1 и f0/2 на switch2
  12. Проверяем доступ в Internet на client1
  13. Настраиваем SPAN на switch2, отключаем интерфейс eth2 (Настройка сети в Linux) на server и проверяем работу IPS
linux._мониторинг_оборудования_и_интеграция_с_cisco.txt · Last modified: 2024/06/24 11:19 by val