User Tools
linux._мониторинг_оборудования_и_интеграция_с_cisco
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision Last revision Both sides next revision | ||
|
linux._мониторинг_оборудования_и_интеграция_с_cisco [2020/04/28 08:20] val [Лабораторные работы: Знакомство с оборудованием Cisco] |
linux._мониторинг_оборудования_и_интеграция_с_cisco [2024/01/07 09:27] val [Лабораторные работы] |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| ====== Linux. Мониторинг оборудования и интеграция с Cisco ====== | ====== Linux. Мониторинг оборудования и интеграция с Cisco ====== | ||
| - | + | * [[https://www.cisco.com/c/dam/m/ru_ru/training-events/2019/cisco-connect/pdf/netdevops_angrechi_on_site.pdf|Как начать управлять сетью на основе методологии NetDevOps и перестать бояться изменений в пятницу вечером]] | |
| + | * [[https://habr.com/ru/post/682974/|Простое развёртывание сетевой лабы на базе контейнеров]] | ||
| ===== Программа курса ===== | ===== Программа курса ===== | ||
| * [[http://www.specialist.ru/course/yun4-a|Linux. Уровень 7. Мониторинг оборудования и интеграция с решениями Cisco]] | * [[http://www.specialist.ru/course/yun4-a|Linux. Уровень 7. Мониторинг оборудования и интеграция с решениями Cisco]] | ||
| + | |||
| + | |||
| + | |||
| + | ===== Список ПО для установки в перерывах ===== | ||
| + | |||
| + | * [[Переменные окружения#Установка переменных окружения]] http_proxy | ||
| + | |||
| + | - [[Технология Docker]] | ||
| + | - [[Сервис Ansible]] | ||
| + | - ansible-playbook conf/ansible/roles/mail.yml | ||
| + | - [[Сервисы ELK]] Elasticsearch, Kibana и Logstash | ||
| ===== Часть 1. Использование GNS для обучения работе с оборудованием Cisco ===== | ===== Часть 1. Использование GNS для обучения работе с оборудованием Cisco ===== | ||
| - | * [[http://www.gns3.net/|Graphical Network Simulator]] | + | * [[https://ru.wikipedia.org/wiki/Dynamips|Dynamips]] |
| + | * [[https://en.wikipedia.org/wiki/Graphical_Network_Simulator-3|Graphical Network Simulator-3]] | ||
| + | * [[https://docs.gns3.com/docs/#what-is-gns3|What is GNS3?]] | ||
| ===== Модуль 0. Подготовка стенда в классе. ===== | ===== Модуль 0. Подготовка стенда в классе. ===== | ||
| - | * Узнать свой номер стенда | + | * Узнать свой номер стенда X=? |
| - | * Удалить виртуалки | + | * Удалить VM с прошлых курсов |
| * Удалить профили putty | * Удалить профили putty | ||
| - | * Отключить не используемые адаптеры, в том числе, vbox | + | * Отключить не используемые адаптеры |
| - | * Записать логин пароль и IP (сообщить преподаватель) рабочей станции | + | |
| * Проверить наличие дистрибутивов и образов | * Проверить наличие дистрибутивов и образов | ||
| Line 23: | Line 35: | ||
| ==== Теория ==== | ==== Теория ==== | ||
| - | * Схема стенда | ||
| * [[http://ru.wikipedia.org/wiki/Cisco_IOS|Cisco IOS]] | * [[http://ru.wikipedia.org/wiki/Cisco_IOS|Cisco IOS]] | ||
| + | |||
| + | |||
| + | ==== Схема стенда ==== | ||
| + | {{ :schema_gns_2022.png?400 |}} | ||
| + | <code> | ||
| + | |||
| + | ISP - [f0/0 router] 172.16.1.X/24 | ||
| + | |||
| + | [router f1/0] - [f0/0 switch1] | ||
| + | [router f1/1] - [f0/0 switch2] | ||
| + | |||
| + | router f1/0 + f1/1 = Port-channel1 192.168.X.1/24 | ||
| + | |||
| + | [server eth0] - [f0/1 switch1] | ||
| + | [server eth1] - [f0/1 switch2] | ||
| + | |||
| + | server eth0 + eth1 = bond0 192.168.X.10/24 | ||
| + | |||
| + | [switch3 f0/0] - [f0/2 switch1] | ||
| + | [switch3 f0/1] - [f0/2 switch2] | ||
| + | |||
| + | switch3 f0/0 + f0/1 = Port-channel1 | ||
| + | |||
| + | [client1] - [f0/2 switch3] | ||
| + | |||
| + | LAN - [f0/10 switch1 или switch2] | ||
| + | !!! Можно через неуправляемый switch подключить к обоим коммутаторам | ||
| + | !!! Еще лучше подключить LAN к 15-му порту switch3 и поменять символ Cloud на Computer | ||
| + | </code> | ||
| + | |||
| + | |||
| ==== Лабораторные работы: Знакомство с оборудованием Cisco ==== | ==== Лабораторные работы: Знакомство с оборудованием Cisco ==== | ||
| Line 30: | Line 72: | ||
| === 1.1 Знакомство с интерфейсом GNS === | === 1.1 Знакомство с интерфейсом GNS === | ||
| + | * Методическая рекомендация: запустить импорт Vbox Win VM client1 | ||
| * [[Материалы по GNS]] | * [[Материалы по GNS]] | ||
| * Добавляем router и подключаем его к isp | * Добавляем router и подключаем его к isp | ||
| Line 41: | Line 84: | ||
| === 1.3 Настройка router === | === 1.3 Настройка router === | ||
| - | * [[Оборудование уровня 3 Cisco Router]] | + | * [[Оборудование уровня 3 Cisco Router]] с EtherChannel |
| * [[Оборудование уровня 3 Cisco Router#Настройка DHCP сервиса]] (через блокнот) | * [[Оборудование уровня 3 Cisco Router#Настройка DHCP сервиса]] (через блокнот) | ||
| === 1.4 Добавление VM client1 в GNS === | === 1.4 Добавление VM client1 в GNS === | ||
| - | * Добавляем switch без настроек | + | * Добавляем и подключаем switch1, switch2 и switch3 |
| - | * Подключение Vbox VM client1 | + | * Добавляем и подключаем Vbox VM client1 |
| + | * Запускаем switch1 и switch3 без настройки | ||
| + | |||
| + | <code> | ||
| + | C:\> ipconfig | ||
| + | |||
| + | C:\> ping 1.1.1.1 | ||
| + | </code> | ||
| ==== Вопросы ==== | ==== Вопросы ==== | ||
| Line 61: | Line 111: | ||
| * [[http://ru.wikipedia.org/wiki/Управление_компьютерной_сетью|Управление компьютерной сетью]] | * [[http://ru.wikipedia.org/wiki/Управление_компьютерной_сетью|Управление компьютерной сетью]] | ||
| - | ==== Лабораторные работы: Настройка Linux (Debian) server ==== | + | ==== Лабораторные работы: Настройка Linux server ==== |
| === 2.1 Добавление server в GNS === | === 2.1 Добавление server в GNS === | ||
| <code> | <code> | ||
| - | - В VBox первую карту подключаем мостом | + | - Назначить 8Gb RAM и 2 CPU |
| - | - В GNS назначить 3 сетевых адаптера, НЕ разрешая использовать, то что настроено в VirtualBox. Использовать Ethernet1 и 2 | + | - В GNS назначить 2 сетевых адаптера (или 4-ре при использовании bond) |
| + | - При увеличении числа адаптеров после добавления VM, требуется указать их количество в свойствах VM и в свойствах объекта на карте | ||
| </code> | </code> | ||
| - | === 2.2 Подключение server к switch в GNS === | + | === 2.2 Подключение server к switch1 и switch2 в GNS === |
| + | |||
| + | * Добавить server и подключить его к switch1 и switch2 | ||
| + | * Добавить LAN в схему стенда | ||
| + | * Выключить и включить switch1 (и switch3 если LAN через него) | ||
| + | * Провести [[netsh#Настройка IP]] на хост системе и проверить ее связь с router | ||
| <code> | <code> | ||
| - | conf t | + | PS C:\Windows\system32> ping 192.168.X.1 |
| - | int f0/1 | + | |
| - | shutdown | + | |
| - | no shutdown | + | |
| - | end | + | |
| </code> | </code> | ||
| Line 81: | Line 134: | ||
| <code> | <code> | ||
| - | ifconfig eth0 inet 10.10.114.100+X/24 | + | # ifconfig eth0 inet 192.168.X.10/24 |
| </code> | </code> | ||
| + | |||
| + | * Подключаемся ssh к server | ||
| + | |||
| <code> | <code> | ||
| - | # sh net_server.sh | + | # hostnamectl set-hostname server.corpX.un |
| + | |||
| + | # bash | ||
| + | </code> | ||
| + | |||
| + | * Обсудить настройку сети через [[Настройка сети в Linux#Настройка Netplan]] | ||
| + | * Произвести [[Настройка сети в Linux#Настройка bonding]] | ||
| + | |||
| + | <code> | ||
| + | # init 6 | ||
| + | или | ||
| + | # netplan apply | ||
| + | |||
| + | # sh conf/dns.sh | ||
| ... | ... | ||
| + | |||
| + | # cat /etc/bind/corpX.un | ||
| </code><code> | </code><code> | ||
| - | # cat /etc/hostname | + | $TTL 3h |
| - | </code><code> | + | @ SOA ns root.ns 1 1d 12h 1w 3h |
| - | server.corpX.un | + | NS ns |
| + | A 192.168.X.10 | ||
| + | ns A 192.168.X.10 | ||
| + | server A 192.168.X.10 | ||
| + | |||
| + | router A 192.168.X.1 | ||
| + | switch1 A 192.168.X.51 | ||
| + | switch2 A 192.168.X.52 | ||
| + | switch3 A 192.168.X.53 | ||
| </code><code> | </code><code> | ||
| + | # service named restart | ||
| + | |||
| # cat /etc/resolv.conf | # cat /etc/resolv.conf | ||
| </code><code> | </code><code> | ||
| search corpX.un | search corpX.un | ||
| - | nameserver 172.16.1.254 | + | nameserver 192.168.X.10 |
| </code><code> | </code><code> | ||
| - | # cat /etc/hosts | + | # host router |
| - | </code><code> | + | |
| - | 127.0.0.1 localhost | + | |
| - | 192.168.X.10 server.corpX.un server | + | # ping ya.ru |
| + | </code> | ||
| - | 10.10.114.178 proxy | + | * Добавить в файл hosts switchN вместо [[Сервис DNS#Настройка сервера зоны обратного преобразования X.168.192.IN-ADDR.ARPA]], понадобится для генерации имен файлов с конфигурацией коммутаторов |
| - | </code><code> | + | |
| - | # cat /etc/network/interfaces | + | |
| - | </code><code> | + | |
| - | auto lo | + | |
| - | iface lo inet loopback | + | |
| - | auto eth0 | + | <code> |
| - | iface eth0 inet static | + | # cat /etc/hosts |
| - | address 10.10.114.100+X | + | |
| - | netmask 255.255.255.0 | + | |
| - | + | ||
| - | auto eth1 | + | |
| - | iface eth1 inet static | + | |
| - | address 192.168.X.10 | + | |
| - | netmask 255.255.255.0 | + | |
| - | gateway 192.168.X.1 | + | |
| - | + | ||
| - | auto eth2 | + | |
| - | iface eth2 inet manual | + | |
| - | up ip link set eth2 up | + | |
| </code><code> | </code><code> | ||
| - | # cat .bashrc | + | 127.0.0.1 localhost |
| - | </code><code> | + | |
| - | ... | + | |
| - | export http_proxy=http://proxy:3128/ | + | |
| - | ... | + | |
| - | </code><code> | + | |
| - | root@localhost:~# init 6 | + | |
| - | ... | + | 192.168.X.10 server.corpX.un server |
| - | root@server:~# apt update | + | 192.168.X.51 switch1 |
| + | 192.168.X.52 switch2 | ||
| + | 192.168.X.53 switch3 | ||
| + | </code><code> | ||
| + | # getent hosts 192.168.X.51 | ||
| </code> | </code> | ||
| ===== Часть 2. Мониторинг оборудования. Задачи и инструменты ===== | ===== Часть 2. Мониторинг оборудования. Задачи и инструменты ===== | ||
| Line 155: | Line 216: | ||
| === 3.1 Тестирование производительности сети === | === 3.1 Тестирование производительности сети === | ||
| + | |||
| + | * Утилита [[Утилиты для тестирования сети#ping]] | ||
| <code> | <code> | ||
| Line 161: | Line 224: | ||
| Pass: | Pass: | ||
| </code> | </code> | ||
| + | |||
| + | * [[Сервис speedtest]] демонстрирует преподаватель | ||
| * [[Утилита iPerf]] | * [[Утилита iPerf]] | ||
| + | * Примечание1: для чистоты замеров можно остановить client1 | ||
| + | * Примечание2: в GNS, исходящий трафик более 100К характеризуется увеличивающимися потерями (до 90 процентов на 1Мб), с входящим проблем не замечено | ||
| + | |||
| + | <code> | ||
| + | router#show interface f0/0 | ||
| + | |||
| + | router#show interface port-channel 1 | ||
| + | </code> | ||
| === 3.2 Использование SNMP === | === 3.2 Использование SNMP === | ||
| - | * Поиск OID оборудования Cisco (Google -> SNMP Object Navigator -> SEARCH -> busy) | + | <code> |
| + | router#show processes cpu | ||
| + | </code> | ||
| + | |||
| + | * Поиск OID оборудования cisco.com -> Search -> SNMP Object Navigator -> SEARCH -> busy | ||
| * [[Общие настройки сетевого оборудования Cisco#Настройка snmp агента]] на router с разрешением на чтение | * [[Общие настройки сетевого оборудования Cisco#Настройка snmp агента]] на router с разрешением на чтение | ||
| - | * Установка snmp консоли ([[Сервис SNMP#Установка пакета net-snmp]]) | + | * [[Сервис SNMP#Установка snmp консоли]] (по окончании, преподавателю запустить установку mrtg и cacti) |
| * [[Сервис SNMP#Варианты использования snmp консоли в режиме чтения]] | * [[Сервис SNMP#Варианты использования snmp консоли в режиме чтения]] | ||
| * [[http://val.bmstu.ru/unix/MIB%20Browser%20setup.exe|MIB Browser]] [[http://www.ireasoning.com/]] | * [[http://val.bmstu.ru/unix/MIB%20Browser%20setup.exe|MIB Browser]] [[http://www.ireasoning.com/]] | ||
| Line 175: | Line 252: | ||
| * [[Локализация системы#Локализация временной зоны]] | * [[Локализация системы#Локализация временной зоны]] | ||
| - | * [[Сервис MRTG]] (демонстрирует преподаватель, слушателям можно установить apache) | + | * [[Сервис MRTG]] (демонстрирует преподаватель за время установки Prometheus) |
| - | * [[Сервис Cacti]] | + | * [[Сервис Cacti]] (демонстрирует преподаватель за время установки Docker и Grafana) |
| + | * [[Сервис Prometheus]] | ||
| + | * [[Сервис Prometheus#prometheus-snmp-exporter]] | ||
| + | * [[Сервис Grafana]] | ||
| Line 183: | Line 263: | ||
| - Назовите характеристики сети, относящиеся к производительности. | - Назовите характеристики сети, относящиеся к производительности. | ||
| - Можно ли измерить пропускную способность сети утилитой ping ? | - Можно ли измерить пропускную способность сети утилитой ping ? | ||
| - | - Что обозначает аббревиатура SMNP? | + | - Что обозначает аббревиатура SNMP? |
| - Какой протокол и порт по умолчанию использует агент SNMP для запросов? | - Какой протокол и порт по умолчанию использует агент SNMP для запросов? | ||
| - Назовите основные команды протокола SNMP. | - Назовите основные команды протокола SNMP. | ||
| Line 200: | Line 280: | ||
| * [[http://bog.pp.ru/work/rsh.html|Протоколы RSH/RCP]] | * [[http://bog.pp.ru/work/rsh.html|Протоколы RSH/RCP]] | ||
| * [[http://ru.wikipedia.org/wiki/Система_управления_версиями|Системы управления версиями]] | * [[http://ru.wikipedia.org/wiki/Система_управления_версиями|Системы управления версиями]] | ||
| + | * [[https://habr.com/ru/post/339844/|Cisco IOS функционал Archive]] | ||
| + | * [[https://simpleone.ru/blog/upravlenie-konfiguracziyami-i-sovremennye-trebovaniya-k-cmdb/#:~:text=CMDB%20%E2%80%93%20%D0%BE%D0%B4%D0%B8%D0%BD%20%D0%B8%D0%B7%20%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%B2%D1%8B%D1%85%20%D1%8D%D0%BB%D0%B5%D0%BC%D0%B5%D0%BD%D1%82%D0%BE%D0%B2,%D0%BE%20%D0%B2%D0%B7%D0%B0%D0%B8%D0%BC%D0%BE%D1%81%D0%B2%D1%8F%D0%B7%D1%8F%D1%85%20%D0%BC%D0%B5%D0%B6%D0%B4%D1%83%20%D1%8D%D1%82%D0%B8%D0%BC%D0%B8%20%D1%8D%D0%BB%D0%B5%D0%BC%D0%B5%D0%BD%D1%82%D0%B0%D0%BC%D0%B8.|Управление конфигурациями и современные требования к CMDB]] | ||
| ==== Лабораторные работы ==== | ==== Лабораторные работы ==== | ||
| Line 207: | Line 288: | ||
| * [[Сервис ТFTP]] | * [[Сервис ТFTP]] | ||
| * [[Оборудование уровня 3 Cisco Router#Настройка пакетного фильтра]] на Cisco router | * [[Оборудование уровня 3 Cisco Router#Настройка пакетного фильтра]] на Cisco router | ||
| + | |||
| + | <code> | ||
| + | gate.isp.un$ wget -O - http://192.168.X.10:3000 | ||
| + | </code> | ||
| + | |||
| * [[Операции с файловыми системами в IOS]] | * [[Операции с файловыми системами в IOS]] | ||
| Line 215: | Line 301: | ||
| * [[Сервисы TELNET RSH#Установка клиента]] rsh | * [[Сервисы TELNET RSH#Установка клиента]] rsh | ||
| * [[Сервисы TELNET RSH#Варианты использования]] rcmd сервисов в Cisco | * [[Сервисы TELNET RSH#Варианты использования]] rcmd сервисов в Cisco | ||
| - | * Сервис MRTG [[Сервис MRTG#Использование скриптов]] (обсудить команду: rsh router show ip dhcp binding ) | ||
| === 4.3.Использование сервисов SSH, SCP и Ansible === | === 4.3.Использование сервисов SSH, SCP и Ansible === | ||
| * [[Оборудование уровня 2 Cisco Catalyst]] | * [[Оборудование уровня 2 Cisco Catalyst]] | ||
| - | * [[Общие настройки сетевого оборудования Cisco#Настройка SSH]] на Cisco switch, (можно не включать сервис SCP) | + | * [[Общие настройки сетевого оборудования Cisco#Настройка SSH]] на switch1 и switch3, (можно не включать сервис SCP) |
| + | * При выключении коммутатора в его конфигурации не сохраняются ключи ssh, поэтому, после включения, необходимо: | ||
| + | <code> | ||
| + | crypto key generate rsa general-keys modulus 1024 | ||
| + | </code> | ||
| * Может потребоваться [[Сервис SSH#Настройка ssh клиента]] для согласования алгоритмов шифрования | * Может потребоваться [[Сервис SSH#Настройка ssh клиента]] для согласования алгоритмов шифрования | ||
| * [[Программирование диалогов expect]] (включаем scp) | * [[Программирование диалогов expect]] (включаем scp) | ||
| * [[Общие настройки сетевого оборудования Cisco#Аутентификация по публичному ключу]] (может не поддерживаться, в этом случае использовать [[Сервис SSH#Парольная аутентификация]]) | * [[Общие настройки сетевого оборудования Cisco#Аутентификация по публичному ключу]] (может не поддерживаться, в этом случае использовать [[Сервис SSH#Парольная аутентификация]]) | ||
| * [[Сервис SSH#SSH вместо RCP (SCP)]] | * [[Сервис SSH#SSH вместо RCP (SCP)]] | ||
| - | * Сервис Ansible [[Сервис Ansible#Установка на управляющей системе]], [[Сервис Ansible#Настройка групп управляемых систем]] и [[Сервис Ansible#Использование модулей]] | + | * Сервис Ansible [[Сервис Ansible#Установка на управляющей системе]], [[Сервис Ansible#Настройка групп управляемых систем]], [[Сервис Ansible#Настройка транспорта ssh]] и [[Сервис Ansible#Использование модулей]] |
| === 4.4 Регистрация изменений конфигурации === | === 4.4 Регистрация изменений конфигурации === | ||
| Line 246: | Line 335: | ||
| cd /srv/tftp/ | cd /srv/tftp/ | ||
| /usr/bin/git add * | /usr/bin/git add * | ||
| - | /usr/bin/git status | grep 'modified\|deleted\|new file' | /usr/bin/git commit -a -F - | + | /usr/bin/git --no-optional-locks status | grep 'modified\|deleted\|new file' | /usr/bin/git commit -a -F - |
| </code><code> | </code><code> | ||
| # crontab -l | # crontab -l | ||
| </code><code> | </code><code> | ||
| - | * * * * * /root/cdp_save.sh >/dev/null 2>&1 | + | 0 3 * * * /root/cdp_save.sh >/dev/null 2>&1 |
| </code> | </code> | ||
| === 4.6 Управление конфигурацией с использованием протокола SNMP === | === 4.6 Управление конфигурацией с использованием протокола SNMP === | ||
| - | * [[Общие настройки сетевого оборудования Cisco#Настройка snmp агента]] на switch с разрешением на запись | + | * [[Общие настройки сетевого оборудования Cisco#Настройка snmp агента]] на switchN с разрешением на запись (можно через [[Сервис Ansible#Использование playbook]] Ansible) |
| - | * [[Сервис SNMP#Варианты использования протокола SNMP в режиме записи]] | + | * [[Сервис SNMP#Варианты использования протокола SNMP в режиме записи]] для switch3 |
| + | |||
| + | === 4.7 Использование snmptrap для получения сигнала об изменении конфигурации === | ||
| + | |||
| + | * [[Сервис SNMP#Настройка snmptrapd сервиса]] на регистрацию всех событий | ||
| + | * [[Общие настройки сетевого оборудования Cisco#Настройка адреса перехватчика trap сообщений]] и [[Общие настройки сетевого оборудования Cisco#Настройка генерации trap-ов]] на изменение конфигурации switchN (можно через [[Сервис Ansible#Использование playbook]] Ansible) | ||
| + | * [[Сервис SNMP#Настройка snmptrapd сервиса]] на резервное копирование конфигурации (демонстрирует преподаватель, далее будут варианты решения этой же задачи с Fail2Ban и ELK Logstash) | ||
| ==== Вопросы ==== | ==== Вопросы ==== | ||
| Line 278: | Line 373: | ||
| === 5.1 Настройка уведомлений о проблемах === | === 5.1 Настройка уведомлений о проблемах === | ||
| - | * [[Сервис Nagios]] | + | Развертывание почтового сервера |
| - | * [[Сервис MTA#Использование почтовых псевдонимов]] | + | |
| + | <code> | ||
| + | # ansible-playbook conf/ansible/roles/mail.yml | ||
| + | </code> | ||
| + | |||
| + | Мониторинг доступности оборудования и сервисов | ||
| + | |||
| + | * [[Сервис Nagios]] (понадобится [[Сервис MTA#Использование почтовых псевдонимов]]) демонстрирует преподаватель | ||
| + | * Сервис [[Сервис Prometheus#prometheus-blackbox-exporter]] | ||
| + | * [[Сервис Grafana#Grafana dashboard]] | ||
| + | * Сервис [[Сервис Prometheus#prometheus-alertmanager]] | ||
| + | |||
| + | Мониторинг количества выданных адресов | ||
| + | |||
| + | <code> | ||
| + | server# rsh router show ip dhcp binding | ||
| + | </code> | ||
| + | |||
| + | * Сервис MRTG [[Сервис MRTG#Использование скриптов]] и Сервис Nagios [[Сервис Nagios#Интеграция с MRTG]] (обсудить) | ||
| + | * Сервис [[Сервис Prometheus#prometheus-pushgateway]] | ||
| + | * [[Сервис DHCP#Поиск посторонних DHCP серверов]] | ||
| + | * [[Сервис Grafana#Grafana dashboard]] и, можно в следующих лабораторных, [[Сервис Grafana#Настройка уведомлений]] | ||
| + | * Домашнее задание - настроить [[Сервис Prometheus#prometheus-alertmanager]] на уведомление о превышении количества выданных адресов | ||
| === 5.2 Управление и анализ журналов === | === 5.2 Управление и анализ журналов === | ||
| + | |||
| + | * !!! Методическая рекомендация - запустить инсталляцию [[Сервисы ELK]] Elasticsearch, Kibana и Logstash | ||
| * Сервис rsyslog [[Регистрация событий в Linux#Настройка на обработку сообщений типа local0]] и [[Регистрация событий в Linux#Регистрация сообщений, переданных по сети]] | * Сервис rsyslog [[Регистрация событий в Linux#Настройка на обработку сообщений типа local0]] и [[Регистрация событий в Linux#Регистрация сообщений, переданных по сети]] | ||
| - | * [[Общие настройки сетевого оборудования Cisco#Управление log сообщениями]] в оборудовании Cisco | + | * [[Общие настройки сетевого оборудования Cisco#Управление log сообщениями]] в оборудовании Cisco (показать на router, для switch-s можно через [[Сервис Ansible#Использование playbook]] Ansible |
| - | * [[Сервис Ansible#Использование playbook]] Ansible для массовой настройки клиента syslog в cisco (siwtch) | + | * Обсудить в видео "[[https://youtu.be/zUi4lTd5WHc|Система управления конфигурациями Ansible и оборудование Cisco]]" использование журнала для выбора момента резервного копирования с помощью [[Сервис Fail2ban]] |
| - | Историческая ретроспектива - использование монолитного пакета ciscoconf в FreeBSD | + | * Мастер класс [[https://youtu.be/EvuEjXhDMNQ|Elastic Stack для сетевого инженера]] |
| + | * Запускаем/знакомимся с [[Сервисы ELK#Elasticsearch]] и подключаемся к нему из [[Сервисы ELK#Kibana]] | ||
| - | * Резервное копирование конфигурации с использованием [[Резервное копирование конфигурации Cisco#Пакет ciscoconf]] | + | * Разворачиваем на server [[Сервис NTP]] |
| + | * [[Общие настройки сетевого оборудования Cisco#Настройка времени]] и [[Общие настройки сетевого оборудования Cisco#Управление log сообщениями]] на порт 8514 для switchN через Ansible [[Сервис Ansible#Использование playbook]] | ||
| + | * Копирование журналов коммутаторов на STDOUT и в Elasticsearch сервисом [[Сервисы ELK#Logstash]] | ||
| - | Использование современных модульных решений | + | * Отключение резервного копирования в [[Сервис SNMP#Настройка snmptrapd сервиса]] |
| - | + | * Резервное копирование конфигупации с использованием анализа журнала сервисом [[Сервисы ELK#Logstash]] | |
| - | * Сервис Fail2ban [[Сервис Fail2ban#Установка]], [[Сервис Fail2ban#Интеграция fail2ban и cisco log]] и [[Сервис Fail2ban#Запуск и отладка]] ([[https://youtu.be/zUi4lTd5WHc|Видео урок]]) | + | |
| - | === 5.3 Использование snmptrap для регистрации событий === | + | === 5.3 Использование snmptrap === |
| - | * [[Сервис SNMP#Настройка snmptrapd сервиса]] | + | * [[Общие настройки сетевого оборудования Cisco#Настройка генерации trap-ов]] на уведомление о "падении" линка |
| - | * [[Общие настройки сетевого оборудования Cisco#Настройка адреса перехватчика trap сообщений]] на cisco switch | + | * Настройка [[Сервис SNMP#Настройка snmptrapd сервиса]] на уведомление о "падении" линка (не удалось воспроизвести на стенде ситуацию, провоцирующую [[Оборудование уровня 2 Cisco Catalyst#storm-control]]) на switch |
| - | * [[Общие настройки сетевого оборудования Cisco#Настройка генерации trap-ов в случае падения/поднятия интерфейсов]] и [[Оборудование уровня 2 Cisco Catalyst#storm-control]] на cisco switch | + | |
| === 5.4 Настройка уведомлений в о критических нагрузках === | === 5.4 Настройка уведомлений в о критических нагрузках === | ||
| - | * [[Сервис Nagios#Использование plugin check_snmp]] | + | * Сервис Nagios [[Сервис Nagios#Использование plugin check_snmp]] или [[Сервис Nagios#Интеграция с MRTG]] |
| - | * [[Общие настройки сетевого оборудования Cisco#Использование RMON подсистемы протокола SNMP]] на cisco router | + | * Сервис [[Сервис Prometheus#prometheus-alertmanager]] |
| + | * Сервис Grafana [[Сервис Grafana#Настройка уведомлений]] (обсудить) | ||
| + | * [[Сервис SNMP#Настройка snmptrapd сервиса]] на обработку сообщений, полученных с [[Общие настройки сетевого оборудования Cisco#Использование RMON подсистемы протокола SNMP]] на cisco router | ||
| ==== Вопросы ==== | ==== Вопросы ==== | ||
| Line 320: | Line 442: | ||
| ==== Лабораторные работы ==== | ==== Лабораторные работы ==== | ||
| + | * [[Общие настройки сетевого оборудования Cisco#Настройка времени]] на router | ||
| * [[Оборудование уровня 3 Cisco Router#Настройка экспорта статистики по протоколу NetFlow]] | * [[Оборудование уровня 3 Cisco Router#Настройка экспорта статистики по протоколу NetFlow]] | ||
| - | * [[Пакет flow-tools]] | + | * [[Пакет flow-tools]] или [[Пакет nfdump]] |
| + | * Файловый сервер SAMBA [[Файловый сервер SAMBA#Публичный каталог доступный на запись]] и [[Excel]] | ||
| + | * [[Сервисы ELK#Elasticsearch]], [[Сервисы ELK#Filebeat]], [[Сервисы ELK#filebeat netflow module]] и [[Сервисы ELK#Kibana Dashboard]] | ||
| Line 335: | Line 460: | ||
| * [[http://ru.wikipedia.org/wiki/Протокол_AAA|Архитектура моделей AAA оборудования Cisco]] | * [[http://ru.wikipedia.org/wiki/Протокол_AAA|Архитектура моделей AAA оборудования Cisco]] | ||
| * [[http://ru.wikipedia.org/wiki/RADIUS|Протокол RADIUS]] | * [[http://ru.wikipedia.org/wiki/RADIUS|Протокол RADIUS]] | ||
| + | * [[https://ru.wikipedia.org/wiki/TACACS|Протокол TACACS]] | ||
| * [[http://ru.wikipedia.org/wiki/IEEE_802.1X|Протокол 802.1x]] | * [[http://ru.wikipedia.org/wiki/IEEE_802.1X|Протокол 802.1x]] | ||
| * [[http://ru.wikipedia.org/wiki/Зеркалирование|Протокол SPAN]] | * [[http://ru.wikipedia.org/wiki/Зеркалирование|Протокол SPAN]] | ||
| Line 342: | Line 468: | ||
| === 7.1 Использование локальных учетных записей администраторов === | === 7.1 Использование локальных учетных записей администраторов === | ||
| - | * [[AAA#Старая модель AAA]] можно показать на router | + | * [[AAA#Старая модель AAA]] преподаватель демонстрирует на router |
| - | * [[AAA#Новая модель AAA]] на switch | + | * [[AAA#Новая модель AAA]] преподаватель демонстрирует на switch1 |
| + | * Настраиваем новую модель AAA с локальной базой пользователей и настройками line con через [[Сервис Ansible#Использование playbook]] | ||
| === 7.2 Использование RADUIS для хранения учетных записей администраторов === | === 7.2 Использование RADUIS для хранения учетных записей администраторов === | ||
| - | * [[Сервис FreeRADIUS]] | + | * [[Сервис FreeRADIUS]] (пользователи root и student, коммутаторы switchN) |
| - | * [[AAA#Настройка клиента RADIUS]] на switch | + | |
| - | * [[AAA#Использование RADIUS для аутентификации подключений]] на switch | + | * Преподаватель демонстрирует на switch1 |
| - | * [[AAA#Использование RADIUS для авторизации подключений]] на switch | + | * [[AAA#Настройка клиента RADIUS]] |
| + | * [[AAA#Использование RADIUS для аутентификации подключений]] на switch1 | ||
| + | * [[AAA#Использование RADIUS для авторизации подключений]] на switch1 | ||
| + | |||
| + | * [[Сервис Ansible#Использование playbook]] для настроек RADIUS на switchN | ||
| === 7.3 Использование TACACS для хранения учетных записей администраторов === | === 7.3 Использование TACACS для хранения учетных записей администраторов === | ||
| * [[Сервис TACACS]] | * [[Сервис TACACS]] | ||
| - | * [[AAA#Аутентификация и авторизация с использованием TACACS+]] | + | * Преподаватель демонстрирует на switch1 [[AAA#Аутентификация и авторизация с использованием TACACS+]] |
| + | * [[Сервис Ansible#Использование playbook]] для настроек на TACACS switchN | ||
| === 7.4 Использование RADUIS для аутентификации пользователей === | === 7.4 Использование RADUIS для аутентификации пользователей === | ||
| + | |||
| + | Бонусная лабораторная работа | ||
| * Настройка протокола [[Сервис FreeRADIUS#EAP]] для 802.1x на FreeRADIUS | * Настройка протокола [[Сервис FreeRADIUS#EAP]] для 802.1x на FreeRADIUS | ||
| - | * [[AAA#Использование RADIUS для протокола 802.1x]] на switch | + | * [[AAA#Использование RADIUS для протокола 802.1x]] на switch3 |
| - | * [[Оборудование уровня 2 Cisco Catalyst#Настройка 802.1x]] на switch | + | * [[Оборудование уровня 2 Cisco Catalyst#Настройка 802.1x]] на switch3 |
| - | * Настройка Windows ([[Материалы по Windows#802.1X authentication]]) | + | * Настройка [[Материалы по Windows#802.1X authentication]] в Windows (оставить только проверку подлинности пользователя, без компьютера!!! Может понадобиться "stut/no shut" для порта коммутатора) |
| === 7.5 Развертывание систем IDS и IPS === | === 7.5 Развертывание систем IDS и IPS === | ||
| - | * Настройка [[Оборудование уровня 2 Cisco Catalyst#SPAN]] на Cisco Catalyst (может потребоваться остановить/запустить server в GNS) | + | * Настройка [[Оборудование уровня 2 Cisco Catalyst#SPAN]] на switch1 (может потребоваться остановить/запустить server в GNS) |
| + | <code> | ||
| + | server# cat /etc/network/interfaces | ||
| + | </code><code> | ||
| + | ... | ||
| + | auto eth1 | ||
| + | iface eth1 inet manual | ||
| + | up ip link set eth1 up | ||
| + | </code><code> | ||
| + | server# ifup eth1 | ||
| + | </code> | ||
| + | |||
| + | ИЛИ | ||
| + | |||
| + | <code> | ||
| + | # cat /etc/netplan/01-netcfg.yaml | ||
| + | </code><code> | ||
| + | ... | ||
| + | bond1: | ||
| + | interfaces: [eth2, eth3] | ||
| + | parameters: | ||
| + | mode: active-backup | ||
| + | mii-monitor-interval: 100 | ||
| + | primary: eth2 | ||
| + | ethernets: | ||
| + | ... | ||
| + | eth2: {} | ||
| + | eth3: {} | ||
| + | </code> | ||
| + | |||
| + | * Применяем [[Настройка сети в Linux#Настройка Netplan]] | ||
| + | * Проверяем [[Настройка сети в Linux#bond netplan]] | ||
| + | |||
| + | <code> | ||
| + | switch1# | ||
| + | |||
| + | conf t | ||
| + | interface FastEthernet0/15 | ||
| + | shut | ||
| + | no shut | ||
| + | end | ||
| + | </code><code> | ||
| + | server# tcpdump -nni eth1 host 192.168.X.101 | ||
| + | |||
| + | server# tcpdump -nni bond1 host 192.168.X.101 | ||
| + | </code> | ||
| * Развертывание системы IDS ([[Сервис SNORT]]) | * Развертывание системы IDS ([[Сервис SNORT]]) | ||
| - | * Развертывание системы IPS (в Linux [[Сервис Fail2ban#Интеграция fail2ban и snort]]) | + | * Развертывание системы IPS (Сервис Fail2ban [[Сервис Fail2ban#Установка]], [[Сервис Fail2ban#Интеграция fail2ban и snort]] и [[Сервис Fail2ban#Запуск и отладка]]) |
| ==== Вопросы ==== | ==== Вопросы ==== | ||
| Line 397: | Line 576: | ||
| ==== Лабораторные работы ==== | ==== Лабораторные работы ==== | ||
| - | * [[Использование протокола 802.1q]] | + | * [[Использование протокола 802.1q#Настройка vlan]] через [[Программирование диалогов expect]] на switch1 и switch3 |
| + | * [[Оборудование уровня 2 Cisco Catalyst#Настройка EtherChannel]] на switch3 | ||
| + | * 802.1q [[Использование протокола 802.1q#Настройка интерфейсов]] на switch1 и switch3 | ||
| + | * [[Использование протокола 802.1q#Настройка Linux системы]] | ||
| + | <code> | ||
| + | server# sh conf/dhcp.sh | ||
| + | </code> | ||
| + | * [[Сервис DHCP]] (vlan2 и 100+X) | ||
| + | * [[Сервис DHCP#Проверка конфигурации и запуск]] | ||
| ==== Вопросы ==== | ==== Вопросы ==== | ||
| Line 407: | Line 593: | ||
| ==== Теория ==== | ==== Теория ==== | ||
| - | * [[http://ru.wikipedia.org/wiki/Протокол_маршрутизации|Протоколы маршрутизации]] | + | * [[https://ru.wikipedia.org/wiki/Протокол_маршрутизации|Протоколы маршрутизации]] |
| - | * [[http://ru.wikipedia.org/wiki/OSPF|Протокол маршрутизации OSPF]] | + | * [[https://ru.wikipedia.org/wiki/OSPF|Протокол маршрутизации OSPF]] |
| - | * [[http://habrahabr.ru/post/101796/|Маршрутизация на основе политик]] | + | * [[https://ru.wikipedia.org/wiki/Border_Gateway_Protocol|Протокол маршрутизации BGP]] |
| ==== Лабораторные работы ==== | ==== Лабораторные работы ==== | ||
| - | * Использование списков доступа [[Использование списков доступа#для организации сервиса NAT]] | + | * !!! Потребовалось |
| - | * [[Использование протоколов маршрутизации]] !!! включение OSPF замедляет работу GNS !!! | + | |
| - | * [[Использование двух ISP]] ([[https://youtu.be/H8F97J8yG4k|Видео урок]]) | + | <code> |
| + | # systemctl disable docker | ||
| + | |||
| + | # init 6 | ||
| + | </code> | ||
| + | |||
| + | * Попробовать совет Дмитрия Евгеньевича, найденный в статье [[https://docker-docs.uclv.cu/network/iptables/|Docker and iptables]] | ||
| + | |||
| + | <code> | ||
| + | iptables -I DOCKER-USER -i src_if -o dst_if -j ACCEPT | ||
| + | </code> | ||
| + | |||
| + | * [[Использование протоколов маршрутизации]] | ||
| ==== Вопросы ==== | ==== Вопросы ==== | ||
| Line 421: | Line 619: | ||
| - Какие протоколы динамической маршрутизации Вам известны? | - Какие протоколы динамической маршрутизации Вам известны? | ||
| - Чем характеризуется протокол OSPF? | - Чем характеризуется протокол OSPF? | ||
| - | - Что обозначает термин PBR? | + | - Чем характеризуется протокол BGP? |
| + | |||
| + | ===== Модуль 10. Тестирование отказоустойчивости ядра сети ===== | ||
| + | |||
| + | - Сохраняем конфигурацию и отключаем switch1 | ||
| + | - Переключаем LAN на 10-й порт switch2 | ||
| + | - Включаем switch2 | ||
| + | - Отключаем интерфейс eth0 на server [[Настройка сети в Linux]] | ||
| + | - Подключаемся по ssh к server (сессия может даже не прерваться:) | ||
| + | - Отключаем интерфейс f1/0 и включаем f1/1 на router | ||
| + | - Проверяем связь с Internet с server | ||
| + | - Проводим базовую настройку [[Оборудование уровня 2 Cisco Catalyst]] switch2 | ||
| + | - Проводим [[Общие настройки сетевого оборудования Cisco#Настройка SSH]] на switch2 | ||
| + | - Через [[Сервис Ansible#Использование playbook]] ansible (aaa local) и [[Программирование диалогов expect]] обновляем конфигурацию на switch2 | ||
| + | - [[Использование протокола 802.1q#Настройка интерфейсов]] trunk на интерфейсах f0/1 и f0/2 на switch2 | ||
| + | - Отключаем интерфейс f0/0 и включаем f0/1 на switch3 | ||
| + | - Проверяем доступ в Internet на client1 | ||
| + | - Настраиваем [[Оборудование уровня 2 Cisco Catalyst#SPAN]] на switch2, отключаем интерфейс eth2 ([[Настройка сети в Linux]]) на server и проверяем работу IPS | ||
linux._мониторинг_оборудования_и_интеграция_с_cisco.txt · Last modified: 2024/02/16 07:37 by val
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
