User Tools

Site Tools


linux._мониторинг_оборудования_и_интеграция_с_cisco

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
linux._мониторинг_оборудования_и_интеграция_с_cisco [2020/04/28 08:20]
val [Лабораторные работы: Знакомство с оборудованием Cisco]
linux._мониторинг_оборудования_и_интеграция_с_cisco [2024/02/16 07:37] (current)
val
Line 1: Line 1:
 ====== Linux. Мониторинг оборудования и интеграция с Cisco ====== ====== Linux. Мониторинг оборудования и интеграция с Cisco ======
  
- +  * [[https://​www.cisco.com/​c/​dam/​m/​ru_ru/​training-events/​2019/​cisco-connect/​pdf/​netdevops_angrechi_on_site.pdf|Как начать управлять сетью на основе методологии NetDevOps и перестать бояться изменений в пятницу вечером]] 
 +  * [[https://​habr.com/​ru/​post/​682974/​|Простое развёртывание сетевой лабы на базе контейнеров]]
 ===== Программа курса ===== ===== Программа курса =====
  
   * [[http://​www.specialist.ru/​course/​yun4-a|Linux. Уровень 7. Мониторинг оборудования и интеграция с решениями Cisco]]   * [[http://​www.specialist.ru/​course/​yun4-a|Linux. Уровень 7. Мониторинг оборудования и интеграция с решениями Cisco]]
 +
 +
 +
 +===== Список ПО для установки в перерывах =====
 +
 +  * [[Переменные окружения#​Установка переменных окружения]] http_proxy
 +
 +  - [[Технология Docker]]
 +  - [[Сервис Ansible]]
 +  - ansible-playbook conf/​ansible/​roles/​mail.yml
 +  - [[Сервисы ELK]] Elasticsearch,​ Kibana и Logstash
  
 ===== Часть 1. Использование GNS для обучения работе с оборудованием Cisco ===== ===== Часть 1. Использование GNS для обучения работе с оборудованием Cisco =====
  
-  * [[http://www.gns3.net/|Graphical Network Simulator]]+  * [[https://ru.wikipedia.org/wiki/​Dynamips|Dynamips]] 
 +  * [[https://​en.wikipedia.org/​wiki/​Graphical_Network_Simulator-3|Graphical Network Simulator-3]] 
 +  * [[https://​docs.gns3.com/​docs/#​what-is-gns3|What is GNS3?]]
  
 ===== Модуль 0. Подготовка стенда в классе. ===== ===== Модуль 0. Подготовка стенда в классе. =====
  
-  * Узнать свой номер стенда +  * Узнать свой номер стенда ​X=? 
-  * Удалить ​виртуалки+  * Удалить ​VM с прошлых курсов
   * Удалить профили putty   * Удалить профили putty
-  * Отключить не используемые адаптеры, в том числе, vbox +  * Отключить не используемые адаптеры  ​
-  * Записать логин пароль и IP (сообщить преподаватель) рабочей станции+
   * Проверить наличие дистрибутивов и образов   * Проверить наличие дистрибутивов и образов
  
Line 23: Line 35:
 ==== Теория ==== ==== Теория ====
  
-  * Схема стенда 
   * [[http://​ru.wikipedia.org/​wiki/​Cisco_IOS|Cisco IOS]]   * [[http://​ru.wikipedia.org/​wiki/​Cisco_IOS|Cisco IOS]]
 +
 +
 +==== Схема стенда ====
 +{{ :​schema_gns_2022.png?​400 |}}
 +<​code>​
 +
 +ISP - [f0/0 router] 172.16.1.X/​24
 +
 +[router f1/0] - [f0/0 switch1]
 +[router f1/1] - [f0/0 switch2] ​                  
 +
 +router f1/0 + f1/1 = Port-channel1 192.168.X.1/​24
 +
 +[server eth0] - [f0/1 switch1]
 +[server eth1] - [f0/1 switch2]
 +
 +server eth0 + eth1 = bond0 192.168.X.10/​24
 +
 +[switch3 f0/0] - [f0/2 switch1]
 +[switch3 f0/1] - [f0/2 switch2]
 +
 +switch3 f0/0 + f0/1 = Port-channel1
 +
 +[client1] - [f0/2 switch3]
 +
 +LAN - [f0/10 switch1 или switch2]  ​
 +!!! Можно через неуправляемый switch подключить к обоим коммутаторам
 +!!! Еще лучше подключить LAN к 15-му порту switch3 и поменять символ Cloud на Computer
 +</​code>​
 +
 +
  
 ==== Лабораторные работы:​ Знакомство с оборудованием Cisco ==== ==== Лабораторные работы:​ Знакомство с оборудованием Cisco ====
Line 30: Line 72:
 === 1.1 Знакомство с интерфейсом GNS === === 1.1 Знакомство с интерфейсом GNS ===
  
 +  * Методическая рекомендация:​ запустить импорт Vbox Win VM client1
   * [[Материалы по GNS]]   * [[Материалы по GNS]]
   * Добавляем router и подключаем его к isp   * Добавляем router и подключаем его к isp
Line 41: Line 84:
 === 1.3 Настройка router === === 1.3 Настройка router ===
  
-  * [[Оборудование уровня 3 Cisco Router]]+  * [[Оборудование уровня 3 Cisco Router]] ​с EtherChannel
   * [[Оборудование уровня 3 Cisco Router#​Настройка DHCP сервиса]] (через блокнот)   * [[Оборудование уровня 3 Cisco Router#​Настройка DHCP сервиса]] (через блокнот)
  
 === 1.4 Добавление VM client1 в GNS === === 1.4 Добавление VM client1 в GNS ===
  
-  * Добавляем ​switch без настроек +  * Добавляем ​и подключаем switch1, switch2 и switch3 
-  * Подключение ​Vbox VM client1+  * Добавляем и подключаем Vbox VM client1 
 +  * Запускаем switch1 и switch3 без настройки 
 + 
 +<​code>​ 
 +C:\> ipconfig 
 + 
 +C:\> ping 1.1.1.1 
 +</​code>​
  
 ==== Вопросы ==== ==== Вопросы ====
Line 61: Line 111:
   * [[http://​ru.wikipedia.org/​wiki/​Управление_компьютерной_сетью|Управление компьютерной сетью]]   * [[http://​ru.wikipedia.org/​wiki/​Управление_компьютерной_сетью|Управление компьютерной сетью]]
  
-==== Лабораторные работы:​ Настройка Linux (Debian) ​server ====+==== Лабораторные работы:​ Настройка Linux server ====
  
 === 2.1 Добавление server в GNS === === 2.1 Добавление server в GNS ===
 <​code>​ <​code>​
-  ​В VBox первую карту подключаем мостом  +   Назначить 8Gb RAM и 2 CPU 
-  - В GNS назначить ​сетевых адаптера, НЕ разрешая ​использовать, то что настроено в VirtualBox. Использовать ​Ethernet1 ​и 2+   ​- В GNS назначить ​сетевых адаптера ​(или 4-ре при ​использовании bond) 
 +   - При увеличении числа адаптеров после добавления VM, требуется указать их количество в свойствах VM и в свойствах объекта на карте
 </​code>​ </​code>​
  
-=== 2.2 Подключение server к switch ​в GNS ===+=== 2.2 Подключение server к switch1 и switch2 ​в GNS === 
 + 
 +  * Добавить server и подключить его к switch1 и switch2 
 +  * Добавить LAN в схему стенда 
 +  * Выключить и включить switch1 (и switch3 если LAN через него) 
 +  * Провести [[netsh#​Настройка IP]] на хост системе и проверить ее связь с router 
 <​code>​ <​code>​
-conf t +PS C:​\Windows\system32>​ ping 192.168.X.1
-int f0/1 +
-shutdown +
-no shutdown +
-end+
 </​code>​ </​code>​
  
Line 81: Line 134:
  
 <​code>​ <​code>​
-ifconfig eth0 inet 10.10.114.100+X/24+ifconfig eth0 inet 192.168.X.10/24
 </​code>​ </​code>​
 +
 +  * Подключаемся ssh к server
 +
 <​code>​ <​code>​
-# sh net_server.sh+# hostnamectl set-hostname server.corpX.un 
 + 
 +# bash 
 +</​code>​ 
 + 
 +  * Обсудить настройку сети через [[Настройка сети в Linux#​Настройка Netplan]] 
 +  * Произвести [[Настройка сети в Linux#​Настройка bonding]] 
 + 
 +<​code>​ 
 +# init 6 
 +  или 
 +# netplan apply 
 + 
 +# sh conf/dns.sh
 ... ...
 +
 +# cat /​etc/​bind/​corpX.un
 </​code><​code>​ </​code><​code>​
-# cat /​etc/​hostname +$TTL      3h 
-</​code><​code>​ +@         ​SOA ​    ns root.ns ​ 1 1d 12h 1w 3h 
-server.corpX.un+          NS      ns 
 +          A       ​192.168.X.10 
 +ns        A       ​192.168.X.10 
 +server ​   ​A ​      ​192.168.X.10 
 + 
 +router ​   A       ​192.168.X.1 
 +switch1 ​  ​A ​      ​192.168.X.51 
 +switch2 ​  ​A ​      ​192.168.X.52 
 +switch3 ​  ​A ​      ​192.168.X.53
 </​code><​code>​ </​code><​code>​
 +# service named restart
 +
 # cat /​etc/​resolv.conf # cat /​etc/​resolv.conf
 </​code><​code>​ </​code><​code>​
 search corpX.un search corpX.un
-nameserver ​172.16.1.254+nameserver ​192.168.X.10
 </​code><​code>​ </​code><​code>​
-cat /​etc/​hosts +host router
-</​code><​code>​ +
-127.0.0.1 ​           localhost+
  
-192.168.X.10 ​        ​server.corpX.un server+# ping ya.ru 
 +</​code>​
  
-10.10.114.178           ​proxy +  * Добавить в файл hosts switchN вместо [[Сервис DNS#​Настройка сервера зоны обратного преобразования X.168.192.IN-ADDR.ARPA]],​ понадобится для генерации имен файлов с конфигурацией коммутаторов
-</​code><​code>​ +
-# cat /​etc/​network/​interfaces +
-</​code><​code>​ +
-auto lo +
-iface lo inet loopback+
  
-auto eth0 +<​code>​ 
-iface eth0 inet static +# cat /etc/hosts
-        address 10.10.114.100+X +
-        netmask 255.255.255.0 +
- +
-auto eth1 +
-iface eth1 inet static +
-        address 192.168.X.10 +
-        netmask 255.255.255.0 +
-        gateway 192.168.X.1 +
- +
-auto eth2 +
-iface eth2 inet manual +
-        up ip link set eth2 up+
 </​code><​code>​ </​code><​code>​
-# cat .bashrc +127.0.0.localhost
-</​code><​code>​ +
-..+
-export http_proxy=http://​proxy:​3128/​ +
-... +
-</​code><​code>​ +
-root@localhost:~# init 6+
  
-...+192.168.X.10 server.corpX.un server
  
-root@server:​~apt update+192.168.X.51 switch1 
 +192.168.X.52 switch2 
 +192.168.X.53 switch3 
 +</​code><​code>​ 
 +getent hosts 192.168.X.51
 </​code>​ </​code>​
 ===== Часть 2. Мониторинг оборудования. Задачи и инструменты ===== ===== Часть 2. Мониторинг оборудования. Задачи и инструменты =====
Line 155: Line 216:
  
 === 3.1 Тестирование производительности сети === === 3.1 Тестирование производительности сети ===
 +
 +  * Утилита [[Утилиты для тестирования сети#​ping]]
  
 <​code>​ <​code>​
Line 161: Line 224:
 Pass:  ​ Pass:  ​
 </​code>​ </​code>​
 +
 +  * [[Сервис speedtest]] демонстрирует преподаватель
   * [[Утилита iPerf]]   * [[Утилита iPerf]]
 +  * Примечание1:​ для чистоты замеров можно остановить client1
 +  * Примечание2:​ в GNS, исходящий трафик более 100К характеризуется увеличивающимися потерями (до 90 процентов на 1Мб), с входящим проблем не замечено
 +
 +<​code>​
 +router#show interface f0/0
 +
 +router#show interface port-channel 1
 +</​code>​
  
 === 3.2 Использование SNMP === === 3.2 Использование SNMP ===
  
-  ​* Поиск OID оборудования ​Cisco (Google ​-> SNMP Object Navigator -> SEARCH -> busy)+<​code>​ 
 +router#show processes cpu 
 +</​code>​ 
 + 
 +  ​* Поиск OID оборудования ​cisco.com -> Search ​-> SNMP Object Navigator -> SEARCH -> busy
   * [[Общие настройки сетевого оборудования Cisco#​Настройка snmp агента]] на router с разрешением на чтение   * [[Общие настройки сетевого оборудования Cisco#​Настройка snmp агента]] на router с разрешением на чтение
-  * Установка snmp консоли ([[Сервис SNMP#Установка пакета net-snmp]])+  * [[Сервис SNMP#Установка snmp консоли]] (по окончании,​ преподавателю запустить установку mrtg и cacti)
   * [[Сервис SNMP#​Варианты использования snmp консоли в режиме чтения]]   * [[Сервис SNMP#​Варианты использования snmp консоли в режиме чтения]]
   * [[http://​val.bmstu.ru/​unix/​MIB%20Browser%20setup.exe|MIB Browser]] [[http://​www.ireasoning.com/​]]   * [[http://​val.bmstu.ru/​unix/​MIB%20Browser%20setup.exe|MIB Browser]] [[http://​www.ireasoning.com/​]]
Line 175: Line 252:
  
   * [[Локализация системы#​Локализация временной зоны]]   * [[Локализация системы#​Локализация временной зоны]]
-  * [[Сервис MRTG]] (демонстрирует преподаватель, слушателям можно установить apache+  * [[Сервис MRTG]] (демонстрирует преподаватель ​за время установки Prometheus) 
-  * [[Сервис ​Cacti]]+  * [[Сервис Cacti]] (демонстрирует преподаватель за время ​установки Docker и Grafana
 +  * [[Сервис ​Prometheus]] 
 +  * [[Сервис Prometheus#​prometheus-snmp-exporter]] 
 +  * [[Сервис Grafana]]
  
  
Line 183: Line 263:
   - Назовите характеристики сети, относящиеся к производительности.   - Назовите характеристики сети, относящиеся к производительности.
   - Можно ли измерить пропускную способность сети утилитой ping ?   - Можно ли измерить пропускную способность сети утилитой ping ?
-  - Что обозначает аббревиатура ​SMNP?+  - Что обозначает аббревиатура ​SNMP?
   - Какой протокол и порт по умолчанию использует агент SNMP для запросов?​   - Какой протокол и порт по умолчанию использует агент SNMP для запросов?​
   - Назовите основные команды протокола SNMP.   - Назовите основные команды протокола SNMP.
Line 200: Line 280:
   * [[http://​bog.pp.ru/​work/​rsh.html|Протоколы RSH/RCP]]   * [[http://​bog.pp.ru/​work/​rsh.html|Протоколы RSH/RCP]]
   * [[http://​ru.wikipedia.org/​wiki/​Система_управления_версиями|Системы управления версиями]]   * [[http://​ru.wikipedia.org/​wiki/​Система_управления_версиями|Системы управления версиями]]
 +  * [[https://​habr.com/​ru/​post/​339844/​|Cisco IOS функционал Archive]] 
 +  * [[https://​simpleone.ru/​blog/​upravlenie-konfiguracziyami-i-sovremennye-trebovaniya-k-cmdb/#:​~:​text=CMDB%20%E2%80%93%20%D0%BE%D0%B4%D0%B8%D0%BD%20%D0%B8%D0%B7%20%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%B2%D1%8B%D1%85%20%D1%8D%D0%BB%D0%B5%D0%BC%D0%B5%D0%BD%D1%82%D0%BE%D0%B2,​%D0%BE%20%D0%B2%D0%B7%D0%B0%D0%B8%D0%BC%D0%BE%D1%81%D0%B2%D1%8F%D0%B7%D1%8F%D1%85%20%D0%BC%D0%B5%D0%B6%D0%B4%D1%83%20%D1%8D%D1%82%D0%B8%D0%BC%D0%B8%20%D1%8D%D0%BB%D0%B5%D0%BC%D0%B5%D0%BD%D1%82%D0%B0%D0%BC%D0%B8.|Управление конфигурациями и современные требования к CMDB]]
 ==== Лабораторные работы ==== ==== Лабораторные работы ====
  
Line 207: Line 288:
   * [[Сервис ТFTP]]   * [[Сервис ТFTP]]
   * [[Оборудование уровня 3 Cisco Router#​Настройка пакетного фильтра]] на Cisco router   * [[Оборудование уровня 3 Cisco Router#​Настройка пакетного фильтра]] на Cisco router
 +
 +<​code>​
 +gate.isp.un$ wget -O - http://​192.168.X.10:​3000
 +</​code>​
 +
   * [[Операции с файловыми системами в IOS]]   * [[Операции с файловыми системами в IOS]]
  
Line 215: Line 301:
   * [[Сервисы TELNET RSH#​Установка клиента]] rsh   * [[Сервисы TELNET RSH#​Установка клиента]] rsh
   * [[Сервисы TELNET RSH#​Варианты использования]] rcmd сервисов в Cisco   * [[Сервисы TELNET RSH#​Варианты использования]] rcmd сервисов в Cisco
-  * Сервис MRTG [[Сервис MRTG#​Использование скриптов]] (обсудить команду:​ rsh router show ip dhcp binding ) 
  
 === 4.3.Использование сервисов SSH, SCP и Ansible === === 4.3.Использование сервисов SSH, SCP и Ansible ===
  
   * [[Оборудование уровня 2 Cisco Catalyst]]   * [[Оборудование уровня 2 Cisco Catalyst]]
-  * [[Общие настройки сетевого оборудования Cisco#​Настройка SSH]] на Cisco switch, (можно не включать сервис SCP)+  * [[Общие настройки сетевого оборудования Cisco#​Настройка SSH]] на switch1 и switch3, (можно не включать сервис SCP) 
 +  * При выключении коммутатора в его конфигурации не сохраняются ключи ssh, поэтому,​ после включения,​ необходимо:​ 
 +<​code>​ 
 +crypto key generate rsa general-keys modulus 1024 
 +</​code>​
   * Может потребоваться [[Сервис SSH#​Настройка ssh клиента]] для согласования алгоритмов шифрования   * Может потребоваться [[Сервис SSH#​Настройка ssh клиента]] для согласования алгоритмов шифрования
   * [[Программирование диалогов expect]] (включаем scp)   * [[Программирование диалогов expect]] (включаем scp)
   * [[Общие настройки сетевого оборудования Cisco#​Аутентификация по публичному ключу]] (может не поддерживаться,​ в этом случае использовать [[Сервис SSH#​Парольная аутентификация]])   * [[Общие настройки сетевого оборудования Cisco#​Аутентификация по публичному ключу]] (может не поддерживаться,​ в этом случае использовать [[Сервис SSH#​Парольная аутентификация]])
   * [[Сервис SSH#SSH вместо RCP (SCP)]]   * [[Сервис SSH#SSH вместо RCP (SCP)]]
-  * Сервис Ansible [[Сервис Ansible#​Установка на управляющей системе]],​ [[Сервис Ansible#​Настройка групп управляемых систем]] и [[Сервис Ansible#​Использование модулей]]+  * Сервис Ansible [[Сервис Ansible#​Установка на управляющей системе]],​ [[Сервис Ansible#​Настройка групп управляемых систем]], [[Сервис Ansible#​Настройка транспорта ssh]] и [[Сервис Ansible#​Использование модулей]]
  
 === 4.4 Регистрация изменений конфигурации === === 4.4 Регистрация изменений конфигурации ===
Line 246: Line 335:
 cd /srv/tftp/ cd /srv/tftp/
 /​usr/​bin/​git add * /​usr/​bin/​git add *
-/​usr/​bin/​git status | grep '​modified\|deleted\|new file' | /​usr/​bin/​git commit -a -F -+/​usr/​bin/​git ​--no-optional-locks ​status | grep '​modified\|deleted\|new file' | /​usr/​bin/​git commit -a -F -
 </​code><​code>​ </​code><​code>​
 # crontab -l # crontab -l
 </​code><​code>​ </​code><​code>​
-* * * * * /​root/​cdp_save.sh >/​dev/​null 2>&1+0 3 * * * /​root/​cdp_save.sh >/​dev/​null 2>&1
 </​code>​ </​code>​
  
 === 4.6 Управление конфигурацией с использованием протокола SNMP === === 4.6 Управление конфигурацией с использованием протокола SNMP ===
  
-  * [[Общие настройки сетевого оборудования Cisco#​Настройка snmp агента]] на switch ​с разрешением на запись +  * [[Общие настройки сетевого оборудования Cisco#​Настройка snmp агента]] на switchN ​с разрешением на запись ​(можно через [[Сервис Ansible#​Использование playbook]] Ansible) 
-  * [[Сервис SNMP#​Варианты использования протокола SNMP в режиме записи]]+  * [[Сервис SNMP#​Варианты использования протокола SNMP в режиме записи]] ​для switch3 
 + 
 +=== 4.7 Использование snmptrap для получения сигнала об изменении конфигурации === 
 + 
 +  * [[Сервис SNMP#​Настройка snmptrapd сервиса]] на регистрацию всех событий 
 +  * [[Общие настройки сетевого оборудования Cisco#​Настройка адреса перехватчика trap сообщений]] и [[Общие настройки сетевого оборудования Cisco#​Настройка генерации trap-ов]] на изменение конфигурации switchN (можно через [[Сервис Ansible#​Использование playbook]] Ansible) 
 +  * [[Сервис SNMP#​Настройка snmptrapd сервиса]] на резервное копирование конфигурации (демонстрирует преподаватель,​ далее будут варианты решения этой же задачи с Fail2Ban и ELK Logstash)
  
 ==== Вопросы ==== ==== Вопросы ====
Line 278: Line 373:
 === 5.1 Настройка уведомлений о проблемах === === 5.1 Настройка уведомлений о проблемах ===
  
-  ​* [[Сервис Nagios]] +Развертывание почтового сервера 
-  * [[Сервис MTA#​Использование почтовых псевдонимов]]+ 
 +<​code>​ 
 +# ansible-playbook conf/​ansible/​roles/​mail.yml 
 +</​code>​ 
 + 
 +Мониторинг доступности оборудования и сервисов 
 + 
 +  ​* [[Сервис Nagios]] ​(понадобится ​[[Сервис MTA#​Использование почтовых псевдонимов]]) демонстрирует преподаватель 
 +  * Сервис [[Сервис Prometheus#​prometheus-blackbox-exporter]] 
 +  * [[Сервис Grafana#​Grafana dashboard]] 
 +  * Сервис [[Сервис Prometheus#​prometheus-alertmanager]] 
 + 
 +Мониторинг количества выданных адресов 
 + 
 +<​code>​ 
 +server# rsh router show ip dhcp binding 
 +</​code>​ 
 + 
 +  * Сервис MRTG [[Сервис MRTG#​Использование скриптов]] и Сервис Nagios [[Сервис Nagios#​Интеграция с MRTG]] (обсудить) 
 +  * Сервис [[Сервис Prometheus#​prometheus-pushgateway]] 
 +  * [[Сервис DHCP#​Поиск посторонних DHCP серверов]] 
 +  * [[Сервис Grafana#​Grafana dashboard]] и, можно в следующих лабораторных,​ [[Сервис Grafana#​Настройка уведомлений]] 
 +  * Домашнее задание - настроить [[Сервис Prometheus#​prometheus-alertmanager]] на уведомление о превышении количества выданных адресов
  
 === 5.2 Управление и анализ журналов === === 5.2 Управление и анализ журналов ===
 +
 +  * !!! Методическая рекомендация - запустить инсталляцию [[Сервисы ELK]] Elasticsearch,​ Kibana и Logstash
  
   * Сервис rsyslog [[Регистрация событий в Linux#​Настройка на обработку сообщений типа local0]] и [[Регистрация событий в Linux#​Регистрация сообщений,​ переданных по сети]]   * Сервис rsyslog [[Регистрация событий в Linux#​Настройка на обработку сообщений типа local0]] и [[Регистрация событий в Linux#​Регистрация сообщений,​ переданных по сети]]
-  * [[Общие настройки сетевого оборудования Cisco#​Управление log сообщениями]] в оборудовании Cisco +  * [[Общие настройки сетевого оборудования Cisco#​Управление log сообщениями]] в оборудовании Cisco (показать на router, для switch-s можно через ​[[Сервис Ansible#​Использование playbook]] Ansible 
-  * [[Сервис Ansible#​Использование playbook]] Ansible для массовой настройки клиента syslog ​в cisco (siwtch)+  * Обсудить в видео "​[[https://​youtu.be/​zUi4lTd5WHc|Система управления конфигурациями Ansible и оборудование Cisco]]"​ использование журнала для выбора момента резервного копирования с помощью [[Сервис Fail2ban]]  ​
  
-Историческая ​ретроспектива - использование монолитного пакета ciscoconf ​в FreeBSD+  * Мастер класс [[https://​youtu.be/​EvuEjXhDMNQ|Elastic Stack для сетевого инженера]] 
 +  * Запускаем/знакомимся с [[Сервисы ELK#​Elasticsearch]] и подключаемся к нему ​из [[Сервисы ELK#​Kibana]]
  
-  * Резервное копирование конфигурации с использованием ​[[Резервное копирование конфигурации Cisco#​Пакет ciscoconf]]+  * Разворачиваем на server [[Сервис NTP]] 
 +  * [[Общие ​настройки сетевого оборудования Cisco#​Настройка времени]] и [[Общие настройки сетевого оборудования Cisco#​Управление log сообщениями]] на порт 8514 для switchN через Ansible [[Сервис Ansible#​Использование playbook]] 
 +  * Копирование ​журналов ​коммутаторов на STDOUT ​и в Elasticsearch сервисом [[Сервисы ELK#​Logstash]]
  
-Использование ​современных модульных ​решений +  * Отключение резервного копирования в [[Сервис ​SNMP#Настройка snmptrapd сервиса]] 
-  +  * Резервное копирование конфигупации ​с использованием анализа журнала ​сервисом [[Сервисы ELK#​Logstash]]
-  * Сервис Fail2ban ​[[Сервис ​Fail2ban#Установка]], [[Сервис Fail2ban#Интеграция fail2ban ​и cisco log]] и [[Сервис Fail2ban#Запуск и отладка]] ([[https://​youtu.be/​zUi4lTd5WHc|Видео урок]])+
  
-=== 5.3 Использование snmptrap ​для регистрации событий ​===+=== 5.3 Использование snmptrap ===
  
-  ​* [[Сервис SNMP#​Настройка snmptrapd сервиса]] +  * [[Общие настройки сетевого оборудования Cisco#​Настройка ​генерации trap-ов]] на уведомление о "​падении" линка 
-  ​* [[Общие настройки сетевого оборудования Cisco#​Настройка ​адреса перехватчика trap сообщений]] на cisco switch +  * Настройка [[Сервис SNMP#​Настройка ​snmptrapd сервиса]] на уведомление о "падении" линка (не удалось воспроизвести на стенде ситуацию,​ провоцирующую ​[[Оборудование уровня 2 Cisco Catalyst#​storm-control]]на switch
-  * [[Общие настройки сетевого оборудования Cisco#​Настройка ​генерации trap-ов в случае падения/поднятия интерфейсов]] и [[Оборудование уровня 2 Cisco Catalyst#​storm-control]] на cisco switch ​+
  
 === 5.4 Настройка уведомлений в о критических нагрузках === === 5.4 Настройка уведомлений в о критических нагрузках ===
  
-  * [[Сервис Nagios#​Использование plugin check_snmp]] +  * Сервис Nagios ​[[Сервис Nagios#​Использование plugin check_snmp]] или [[Сервис Nagios#​Интеграция с MRTG]] 
-  * [[Общие настройки сетевого оборудования Cisco#​Использование RMON подсистемы протокола SNMP]] на cisco router+  * Сервис [[Сервис Prometheus#​prometheus-alertmanager]] 
 +  * Сервис Grafana [[Сервис Grafana#​Настройка уведомлений]] (обсудить) 
 +  * [[Сервис SNMP#​Настройка snmptrapd сервиса]] на обработку сообщений,​ полученных с [[Общие настройки сетевого оборудования Cisco#​Использование RMON подсистемы протокола SNMP]] на cisco router
 ==== Вопросы ==== ==== Вопросы ====
  
Line 320: Line 442:
 ==== Лабораторные работы ==== ==== Лабораторные работы ====
  
 +  * [[Общие настройки сетевого оборудования Cisco#​Настройка времени]] на router
   * [[Оборудование уровня 3 Cisco Router#​Настройка экспорта статистики по протоколу NetFlow]]   * [[Оборудование уровня 3 Cisco Router#​Настройка экспорта статистики по протоколу NetFlow]]
-  * [[Пакет flow-tools]]+  * [[Пакет flow-tools]] или [[Пакет nfdump]] 
 +  * Файловый сервер SAMBA [[Файловый сервер SAMBA#​Публичный каталог доступный на запись]] и [[Excel]] 
 +  * [[Сервисы ELK#​Elasticsearch]],​ [[Сервисы ELK#​Filebeat]],​ [[Сервисы ELK#​filebeat netflow module]] и [[Сервисы ELK#Kibana Dashboard]] 
 + 
 +==== Внимание! Посмотрите вебинар ==== 
 + 
 +  * [[https://​youtu.be/​EvuEjXhDMNQ|Elastic Stack для сетевого инженера]]
  
  
Line 335: Line 464:
   * [[http://​ru.wikipedia.org/​wiki/​Протокол_AAA|Архитектура моделей AAA оборудования Cisco]]   * [[http://​ru.wikipedia.org/​wiki/​Протокол_AAA|Архитектура моделей AAA оборудования Cisco]]
   * [[http://​ru.wikipedia.org/​wiki/​RADIUS|Протокол RADIUS]]   * [[http://​ru.wikipedia.org/​wiki/​RADIUS|Протокол RADIUS]]
 +  * [[https://​ru.wikipedia.org/​wiki/​TACACS|Протокол TACACS]]
   * [[http://​ru.wikipedia.org/​wiki/​IEEE_802.1X|Протокол 802.1x]]   * [[http://​ru.wikipedia.org/​wiki/​IEEE_802.1X|Протокол 802.1x]]
   * [[http://​ru.wikipedia.org/​wiki/​Зеркалирование|Протокол SPAN]]   * [[http://​ru.wikipedia.org/​wiki/​Зеркалирование|Протокол SPAN]]
Line 342: Line 472:
 === 7.1 Использование локальных учетных записей администраторов === === 7.1 Использование локальных учетных записей администраторов ===
  
-  * [[AAA#​Старая модель AAA]] можно ​показать на router +  * [[AAA#​Старая модель AAA]] преподаватель демонстрирует ​на router  
-  * [[AAA#​Новая модель AAA]] на switch+  * [[AAA#​Новая модель AAA]] преподаватель демонстрирует ​на switch1 
 +  * Настраиваем новую модель AAA с локальной базой пользователей и настройками line con через [[Сервис Ansible#​Использование playbook]]
  
 === 7.2 Использование RADUIS для хранения учетных записей администраторов === === 7.2 Использование RADUIS для хранения учетных записей администраторов ===
  
-  * [[Сервис FreeRADIUS]] +  * [[Сервис FreeRADIUS]] ​(пользователи root и student, коммутаторы switchN) 
-  * [[AAA#​Настройка клиента RADIUS]] ​на switch + 
-  * [[AAA#​Использование RADIUS для аутентификации подключений]] на switch +  * Преподаватель демонстрирует на switch1 
-  * [[AAA#​Использование RADIUS для авторизации подключений]] на switch+  * [[AAA#​Настройка клиента RADIUS]] 
 +  * [[AAA#​Использование RADIUS для аутентификации подключений]] на switch1 
 +  * [[AAA#​Использование RADIUS для авторизации подключений]] на switch1 
 + 
 +  * [[Сервис Ansible#​Использование playbook]] для настроек RADIUS на switchN
  
 === 7.3 Использование TACACS для хранения учетных записей администраторов === === 7.3 Использование TACACS для хранения учетных записей администраторов ===
  
   * [[Сервис TACACS]]   * [[Сервис TACACS]]
-  * [[AAA#​Аутентификация и авторизация с использованием TACACS+]]+  * Преподаватель демонстрирует на switch1 ​[[AAA#​Аутентификация и авторизация с использованием TACACS+]] 
 +  * [[Сервис Ansible#​Использование playbook]] для настроек на TACACS switchN
  
 === 7.4 Использование RADUIS для аутентификации пользователей === === 7.4 Использование RADUIS для аутентификации пользователей ===
 +
 +Бонусная лабораторная работа
  
   * Настройка протокола [[Сервис FreeRADIUS#​EAP]] для 802.1x на FreeRADIUS   * Настройка протокола [[Сервис FreeRADIUS#​EAP]] для 802.1x на FreeRADIUS
-  * [[AAA#​Использование RADIUS для протокола 802.1x]] на switch +  * [[AAA#​Использование RADIUS для протокола 802.1x]] на switch3 
-  * [[Оборудование уровня 2 Cisco Catalyst#​Настройка 802.1x]] на switch +  * [[Оборудование уровня 2 Cisco Catalyst#​Настройка 802.1x]] на switch3 
-  * Настройка ​Windows ([[Материалы по Windows#​802.1X authentication]])+  * Настройка [[Материалы по Windows#​802.1X authentication]] ​в Windows (оставить только проверку подлинности пользователя,​ без компьютера!!! Может понадобиться "​stut/​no shut" для порта коммутатора)
  
 === 7.5 Развертывание систем IDS и IPS === === 7.5 Развертывание систем IDS и IPS ===
  
-  * Настройка [[Оборудование уровня 2 Cisco Catalyst#​SPAN]] на Cisco Catalyst ​(может потребоваться остановить/​запустить server в GNS)+  * Настройка [[Оборудование уровня 2 Cisco Catalyst#​SPAN]] на switch1 ​(может потребоваться остановить/​запустить server в GNS) 
 +<​code>​ 
 +server# cat /​etc/​network/​interfaces 
 +</​code><​code>​ 
 +... 
 +auto eth1 
 +iface eth1 inet manual 
 +        up ip link set eth1 up 
 +</​code><​code>​ 
 +server# ifup eth1 
 +</​code>​ 
 + 
 +ИЛИ 
 + 
 +<​code>​ 
 +# cat /​etc/​netplan/​01-netcfg.yaml 
 +</​code><​code>​ 
 +... 
 +    bond1: 
 +      interfaces: [eth2, eth3] 
 +      parameters:​ 
 +        mode: active-backup 
 +        mii-monitor-interval:​ 100 
 +        primary: eth2 
 +  ethernets:​ 
 +... 
 +    eth2: {} 
 +    eth3: {} 
 +</​code>​ 
 + 
 +  * Применяем [[Настройка сети в Linux#​Настройка Netplan]] 
 +  * Проверяем [[Настройка сети в Linux#bond netplan]] 
 + 
 +<​code>​ 
 +switch1# 
 + 
 +conf t 
 +interface FastEthernet0/​15 
 +shut 
 +no shut 
 +end 
 +</​code><​code>​ 
 +server# tcpdump -nni eth1 host 192.168.X.101 
 + 
 +server# tcpdump -nni bond1 host 192.168.X.101 
 +</​code>​
   * Развертывание системы IDS ([[Сервис SNORT]])   * Развертывание системы IDS ([[Сервис SNORT]])
-  * Развертывание системы IPS (в Linux [[Сервис Fail2ban#​Интеграция fail2ban и snort]])+  * Развертывание системы IPS (Сервис Fail2ban [[Сервис Fail2ban#​Установка]], ​[[Сервис Fail2ban#​Интеграция fail2ban и snort]] и [[Сервис Fail2ban#​Запуск и отладка]])
  
 ==== Вопросы ==== ==== Вопросы ====
Line 397: Line 580:
 ==== Лабораторные работы ==== ==== Лабораторные работы ====
  
-  * [[Использование протокола 802.1q]] +  * [[Использование протокола 802.1q#​Настройка vlan]] через [[Программирование диалогов expect]] на switch1 и switch3 
 +  * [[Оборудование уровня 2 Cisco Catalyst#​Настройка EtherChannel]] на switch3 
 +  * 802.1q [[Использование протокола 802.1q#​Настройка интерфейсов]] на switch1 и switch3 
 +  * [[Использование протокола 802.1q#​Настройка Linux системы]] 
 +<​code>​ 
 +server# sh conf/​dhcp.sh 
 +</​code>​ 
 +  * [[Сервис DHCP]] (vlan2 и 100+X) 
 +  * [[Сервис DHCP#​Проверка конфигурации и запуск]]
 ==== Вопросы ==== ==== Вопросы ====
  
Line 407: Line 597:
 ==== Теория ==== ==== Теория ====
  
-  * [[http://​ru.wikipedia.org/​wiki/​Протокол_маршрутизации|Протоколы маршрутизации]] +  * [[https://​ru.wikipedia.org/​wiki/​Протокол_маршрутизации|Протоколы маршрутизации]] 
-  * [[http://​ru.wikipedia.org/​wiki/​OSPF|Протокол маршрутизации OSPF]] +  * [[https://​ru.wikipedia.org/​wiki/​OSPF|Протокол маршрутизации OSPF]] 
-  * [[http://habrahabr.ru/post/101796/|Маршрутизация на основе политик]]+  * [[https://ru.wikipedia.org/wiki/Border_Gateway_Protocol|Протокол маршрутизации ​BGP]]
  
 ==== Лабораторные работы ==== ==== Лабораторные работы ====
  
-  * Использование ​списков доступа [[Использование ​списков доступа#для организации сервиса NAT]] +  * !!! Потребовалось  
-  * [[Использование протоколов маршрутизации]] ​!!! включение OSPF замедляет работу GNS !!! + 
-  * [[Использование двух ISP]] ([[https://​youtu.be/​H8F97J8yG4k|Видео урок]])+<​code>​ 
 +# systemctl disable docker 
 + 
 +# init 6 
 +</​code>​ 
 + 
 +    * Попробовать совет Дмитрия Евгеньевича, найденный ​в статье [[https://​docker-docs.uclv.cu/​network/​iptables/​|Docker and iptables]] 
 + 
 +<​code>​ 
 +iptables -I DOCKER-USER -i src_if -o dst_if -j ACCEPT  
 +</​code>​ 
 + 
 +  * [[Использование протоколов маршрутизации]]
  
 ==== Вопросы ==== ==== Вопросы ====
Line 421: Line 623:
   - Какие протоколы динамической маршрутизации Вам известны?​   - Какие протоколы динамической маршрутизации Вам известны?​
   - Чем характеризуется протокол OSPF?   - Чем характеризуется протокол OSPF?
-  - Что обозначает термин ​PBR?+  - Чем характеризуется протокол BGP? 
 + 
 +===== Модуль 10. Тестирование отказоустойчивости ядра сети ===== 
 + 
 +  - Сохраняем конфигурацию и отключаем switch1 
 +  - Переключаем LAN на 10-й порт switch2 
 +  - Включаем switch2 
 +  - Отключаем интерфейс eth0 на server [[Настройка сети в Linux]] 
 +  - Подключаемся по ssh к server (сессия может даже не прерваться:​) 
 +  - Отключаем интерфейс f1/0 и включаем f1/1 на router 
 +  - Проверяем связь с Internet с server 
 +  - Проводим ​базовую настройку [[Оборудование уровня 2 Cisco Catalyst]] switch2 
 +  - Проводим [[Общие настройки сетевого оборудования Cisco#​Настройка SSH]] на switch2 
 +  - Через [[Сервис Ansible#​Использование playbook]] ansible (aaa local) и [[Программирование диалогов expect]] обновляем конфигурацию на switch2 
 +  - [[Использование протокола 802.1q#​Настройка интерфейсов]] trunk на интерфейсах f0/1 и f0/2 на switch2 
 +  - Отключаем интерфейс f0/0 и включаем f0/1 на switch3 
 +  - Проверяем доступ в Internet на client1 
 +  - Настраиваем [[Оборудование уровня 2 Cisco Catalyst#​SPAN]] на switch2, отключаем интерфейс eth2 ([[Настройка сети в Linux]]) на server и проверяем работу IPS
linux._мониторинг_оборудования_и_интеграция_с_cisco.1588051224.txt.gz · Last modified: 2020/04/28 08:20 by val