Общие настройки сетевого оборудования Cisco

ntp server server

clock timezone MSK 3

service timestamps log datetime localtime year

no ip http server

no access-list 1
! access-list 1 permit host 192.168.X.101
access-list 1 permit host 192.168.X.10
access-list 1 deny any

line vty 0 15
! no login ! for no password access
! privilege level 15
 access-class 1 in
end

• Cisco Support Community. Enable SSH V2

Вариант 1

ip domain-name corpX.un
crypto key generate rsa general-keys modulus 1024
ip ssh version 2

username root privilege 15 secret cisco

line vty 0 15
login local
transport input ssh

Вариант 2

crypto key generate rsa label MY_KEYS modulus 1024
ip ssh rsa keypair-name MY_KEYS

ip scp server enable

• !!! IOS должен поддерживать SSH Version 2 Enhancements for RSA Keys feature
• SSH using public key authentication to IOS and big outputs.

root@helper:~# cat .ssh/id_rsa.pub

...

!!! Разбить вывод на несколько строк !!!

ip ssh pubkey-chain
username rancid
key-string
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9KLTWwi8BTLMW6r79wgrfXrUOwai/smc
...
36w0k+JeK/WqJr5X80yX7fLbP root@helper
exit
exit
exit

ip rcmd rcp-enable
ip rcmd rsh-enable

! recomend for security and DNS troubles
no ip domain-lookup
ip host server 192.168.X.10

ip rcmd remote-host root server root enable

router# show logging

router# terminal monitor

router(config)# logging console

• !!! для одного host может быть только один port

cisco(config)#logging facility local0

cisco(config)#logging host server ! transport udp port 8514

router(config)# snmp-server community public RO

switch(config)# snmp-server community write RW

switch(config)# snmp-server host server writetrap

switch(config)# snmp-server enable traps snmp linkdown linkup

switch(config)# snmp-server enable traps config
switch(config)# snmp-server enable traps config-copy

• Monitoring network hardware with SNMPv3 in Zabbix

Настройка router:

snmp-server host server writetrap

rmon event 1001 log trap writetrap description "Critical input bandwith WAN int"
rmon event 1002 log trap writetrap description "Ok input bandwith WAN int"

rmon alarm 2002 ifEntry.10.1 8 delta rising-threshold 900000 1001 falling-threshold 300000 1002
!rmon alarm 2002 1.3.6.1.2.1.2.2.1.16.5 8 delta rising-threshold 900000 1001 falling-threshold 300000 1002

router#show rmon alarms

Комментарии:

• event - кому посылать (в trap с комьюнити writetrap) и описание события
• alarm - причины возникновения trap и привязка к event
• Номер alarm (2002) присутствует в OID trap
• 1.3.6.1.2.1.2.2.1.10/16.N превратится в ifEntry.10/16.N - (тоже что и if(In/Out)Octets.N но router такую запись OID не понимает)
• 8 - период расчета в секундах (удобно, получаем вместо октет/секунду - бит/секунду)
• delta - считать относительно предыдущего параметра
• rising-threshold 900000 1001 - при превышении разницы значений счетчика на 900000 (немного меньше 1Мбита) генерировать event 1001
• falling-threshold 300000 1002 - при уменьшении разницы значений счетчика на 300000 генерировать event 1002

Тестирование:

gate.isp.un$ iperf -c 192.168.X.10 -u -t 600 -b 1M

server# tcpdump -i eth1 -s0 -A -n port 162

rmon event 4 log trap public description "Cpu hight load"
rmon alarm 8 1.3.6.1.4.1.9.2.1.56.0 10 absolute rising-threshold 80 4 falling-threshold 6 20