• Как начать управлять сетью на основе методологии NetDevOps и перестать бояться изменений в пятницу вечером
• Простое развёртывание сетевой лабы на базе контейнеров

• Linux. Уровень 7. Мониторинг оборудования и интеграция с решениями Cisco

• Установка переменных окружения http_proxy

1. Технология Docker
2. Сервис Ansible
3. ansible-playbook conf/ansible/roles/mail.yml
4. Сервисы ELK Elasticsearch, Kibana и Logstash

• Dynamips
• Graphical Network Simulator-3
• What is GNS3?

• Узнать свой номер стенда X=?
• Удалить VM с прошлых курсов
• Удалить профили putty
• Отключить не используемые адаптеры
• Проверить наличие дистрибутивов и образов

• Cisco IOS

ISP - [f0/0 router] 172.16.1.X/24

[router f1/0] - [f0/0 switch1]
[router f1/1] - [f0/0 switch2]                   

router f1/0 + f1/1 = Port-channel1 192.168.X.1/24

[server eth0] - [f0/1 switch1]
[server eth1] - [f0/1 switch2]

server eth0 + eth1 = bond0 192.168.X.10/24

[switch3 f0/0] - [f0/2 switch1]
[switch3 f0/1] - [f0/2 switch2]

switch3 f0/0 + f0/1 = Port-channel1

[client1] - [f0/2 switch3]

LAN - [f0/10 switch1 или switch2]  
!!! Можно через неуправляемый switch подключить к обоим коммутаторам
!!! Можно подключить LAN к 15-му порту switch3 (потребуется int f0/1 shut) 
    Можно поменять символ Cloud на Computer

• Методическая рекомендация: запустить импорт Vbox Win VM client1
• Материалы по GNS
• Добавляем router и подключаем его к isp

• Интерфейс командной строки в IOS
• Установка времени (clock set ?)
• Управление конфигурацией (running-config, startup-config)

• Оборудование уровня 3 Cisco Router с EtherChannel
• Настройка DHCP сервиса (через блокнот)

• Добавляем и подключаем switch1, switch2 и switch3
• Добавляем и подключаем Vbox VM client1
• Запускаем switch1 и switch3 без настройки

C:\> ipconfig

C:\> ping 1.1.1.1

1. Какая команда в Cisco используется для поиска строк, содержащих заданный образец?
2. Какая клавиша выводит варианты набора команды в Cisco?
3. Какая клавиша дописывает ключевые слова команды в Cisco?

• Управление компьютерной сетью

   - Назначить 8Gb RAM и 2 CPU
   - В GNS назначить 2 сетевых адаптера (или 4-ре при использовании bond)
   - При увеличении числа адаптеров после добавления VM, требуется указать их количество в свойствах VM и в свойствах объекта на карте

• Добавить server и подключить его к switch1 и switch2
• Добавить LAN в схему стенда
• Выключить и включить switch1 (и switch3 если LAN через него)
• Провести Настройка IP на хост системе и проверить ее связь с router

PS C:\Windows\system32> ping 192.168.X.1

# ifconfig eth0 inet 192.168.X.10/24

• Подключаемся ssh к server

# hostnamectl set-hostname server.corpX.un

# bash

• Обсудить настройку сети через Настройка Netplan
• Произвести Отключение ifupdown и Настройка bonding

# init 6
  или
# netplan apply

# sh conf/dns.sh
...

# cat /etc/bind/corpX.un

$TTL      3h
@         SOA     ns root.ns  1 1d 12h 1w 3h
          NS      ns
          A       192.168.X.10
ns        A       192.168.X.10
server    A       192.168.X.10

router    A       192.168.X.1
switch1   A       192.168.X.51
switch2   A       192.168.X.52
switch3   A       192.168.X.53

# service named restart

# cat /etc/resolv.conf

search corpX.un
nameserver 192.168.X.10    #!!! not 127.0.0.1, need in docker

# host router

# ping ya.ru

• Добавить в файл hosts switchN вместо Настройка сервера зоны обратного преобразования X.168.192.IN-ADDR.ARPA, понадобится для генерации имен файлов с конфигурацией коммутаторов

# cat /etc/hosts

127.0.0.1 localhost

192.168.X.10 server.corpX.un server

192.168.X.51 switch1
192.168.X.52 switch2
192.168.X.53 switch3

# getent hosts 192.168.X.51

• FCAPS — модель администрирования и управления сетями
• Циклопедия:Списки:Системы мониторинга сети

• Bog BOS: Производительность сети и её измерение
• Анализ производительности сети в UNIX
• Тестирование_производительности - Wikipedia
• Протокол SNMP - Wikipedia
• Архитектура RRD баз данных - Wikipedia
• Протокол RMON - Wikipedia

• Утилита ping

Host:  172.16.1.254
Login: userX
Pass:  

• Сервис speedtest демонстрирует преподаватель
• Утилита iPerf
• Примечание1: для чистоты замеров можно остановить client1
• Примечание2: в GNS, исходящий трафик более 100К характеризуется увеличивающимися потерями (до 90 процентов на 1Мб), с входящим проблем не замечено

router#show interface f0/0

router#show interface port-channel 1

router#show processes cpu

• Поиск OID оборудования cisco.com → Search → SNMP Object Navigator → SEARCH → busy
• Настройка snmp агента на router с разрешением на чтение
• Установка snmp консоли (по окончании, преподавателю запустить установку mrtg и cacti)
• Варианты использования snmp консоли в режиме чтения
• MIB Browser http://www.ireasoning.com/
• The Dude by MikroTik

• Локализация временной зоны
• Сервис MRTG (демонстрирует преподаватель за время установки Prometheus)
• Сервис Cacti (демонстрирует преподаватель за время установки Docker и Grafana)
• Сервис Prometheus
• prometheus-snmp-exporter
• Сервис Grafana

1. Назовите характеристики сети, относящиеся к производительности.
2. Можно ли измерить пропускную способность сети утилитой ping ?
3. Что обозначает аббревиатура SNMP?
4. Какой протокол и порт по умолчанию использует агент SNMP для запросов?
5. Назовите основные команды протокола SNMP.
6. Какая утилита пакета используется для перебора значений внутри заданного OID’ом диапазона?
7. Как соотносятся MIB и OID в SNMP?
8. Как меняется размер базы данных RRD?

• Протокол CDP
• Протокол LLDP
• Протокол TFTP
• Протоколы RSH/RCP
• Системы управления версиями
• Cisco IOS функционал Archive
• Управление конфигурациями и современные требования к CMDB

• Сервис ТFTP
• Настройка пакетного фильтра на Cisco router

gate.isp.un$ wget -O - http://192.168.X.10:3000

• Операции с файловыми системами в IOS

• Настройка rcmd сервисов на Cisco router
• Установка клиента rsh
• Варианты использования rcmd сервисов в Cisco

• Оборудование уровня 2 Cisco Catalyst
• Настройка SSH на switch1 и switch3, (можно не включать сервис SCP)
• При выключении коммутатора в его конфигурации не сохраняются ключи ssh, поэтому, после включения, необходимо:

crypto key generate rsa general-keys modulus 1024

• Может потребоваться Настройка ssh клиента для согласования алгоритмов шифрования
• Программирование диалогов expect (включаем scp)
• Аутентификация по публичному ключу (может не поддерживаться, в этом случае использовать Парольная аутентификация)
• SSH вместо RCP (SCP)
• Сервис Ansible Установка на управляющей системе, Настройка групп управляемых систем, Настройка транспорта ssh и Использование модулей

• Система контроля версий rcs
• Сервис Git для каталога /srv/tftp/

• Использование протокола CDP
• SSH вместо RSH

# cat cdp_save.sh

#!/bin/sh

/usr/bin/ansible sws -m ios_command -a "commands='show cdp nei'" -c local > /srv/tftp/switch.cdp.json
#/usr/bin/ansible sws -m ios_command -a "commands='show cdp nei'" -c network_cli > /srv/tftp/switch.cdp.json

cd /srv/tftp/
/usr/bin/git add *
/usr/bin/git --no-optional-locks status | grep 'modified\|deleted\|new file' | /usr/bin/git commit -a -F -

# crontab -l

0 3 * * * /root/cdp_save.sh >/dev/null 2>&1

• Настройка snmp агента на switchN с разрешением на запись (можно через Использование playbook Ansible)
• Варианты использования протокола SNMP в режиме записи для switch3

• Настройка snmptrapd сервиса на регистрацию всех событий
• Настройка адреса перехватчика trap сообщений и Настройка генерации trap-ов на изменение конфигурации switchN (можно через Использование playbook Ansible)
• Настройка snmptrapd сервиса на резервное копирование конфигурации (демонстрирует преподаватель, далее будут варианты решения этой же задачи с Fail2Ban и ELK Logstash)

1. Какой протокол и порт по умолчанию использует протокол TFTP?
2. Какой командой Cisco IOS можно посмотреть содержимое текстового файла, расположенного на TFTP сервере?
3. Когда нужно настраивать IP адрес на layer 2 коммутаторе?
4. На каком интерфейсе коммутаторов Cisco настраивается IP адрес?
5. На каком уровне сетевой модели работают протоколы CDP и LLDP?
6. Чем значение OID ifAdminStatus отличается от ifOperStatus?

• Syslog
• Ловим snmp трапы mac-notification с устройств Cisco

Развертывание почтового сервера

# ansible-playbook conf/ansible/roles/mail.yml

Мониторинг доступности оборудования и сервисов

• Сервис Nagios (понадобится Использование почтовых псевдонимов) демонстрирует преподаватель
• Сервис prometheus-blackbox-exporter
• Grafana dashboard
• Сервис prometheus-alertmanager

Мониторинг количества выданных адресов

server# rsh router show ip dhcp binding

• Сервис MRTG Использование скриптов и Сервис Nagios Интеграция с MRTG (обсудить)
• Сервис prometheus-pushgateway
• Поиск посторонних DHCP серверов
• Grafana dashboard и, можно в следующих лабораторных, Настройка уведомлений
• Домашнее задание - настроить prometheus-alertmanager на уведомление о превышении количества выданных адресов

• !!! Методическая рекомендация - запустить инсталляцию Сервисы ELK Elasticsearch, Kibana и Logstash

• Сервис rsyslog Настройка на обработку сообщений типа local0 и Регистрация сообщений, переданных по сети
• Управление log сообщениями в оборудовании Cisco (показать на router, для switch-s можно через Использование playbook Ansible
• Обсудить в видео “Система управления конфигурациями Ansible и оборудование Cisco” использование журнала для выбора момента резервного копирования с помощью Сервис Fail2ban

• Мастер класс Elastic Stack для сетевого инженера(RuTube)
• Запускаем/знакомимся с Elasticsearch и подключаемся к нему из Kibana

• Разворачиваем на server Сервис NTP
• Настройка времени и Управление log сообщениями на порт 8514 для switchN через Ansible Использование playbook
• Копирование журналов коммутаторов на STDOUT и в Elasticsearch сервисом Logstash

• Отключение резервного копирования в Настройка snmptrapd сервиса
• Резервное копирование конфигупации с использованием анализа журнала сервисом Logstash

• Настройка генерации trap-ов на уведомление о “падении” линка
• Настройка Настройка snmptrapd сервиса на уведомление о “падении” линка (не удалось воспроизвести на стенде ситуацию, провоцирующую storm-control) на switch

• Сервис Nagios Использование plugin check_snmp или Интеграция с MRTG
• Сервис prometheus-alertmanager
• Сервис Grafana Настройка уведомлений
• Настройка snmptrapd сервиса на обработку сообщений, полученных с Использование RMON подсистемы протокола SNMP на cisco router

1. Какой протокол и порт по умолчанию использует протокол Syslog?
2. Для чего используется тип сообщений в протоколе Syslog?
3. Какой протокол и порт по умолчанию используется для SNMP trap?
4. Как работает протокол RMON?

• Протокол NetFlow

• Настройка времени на router
• Настройка экспорта статистики по протоколу NetFlow
• Пакет flow-tools или Пакет nfdump
• Файловый сервер SAMBA Публичный каталог доступный на запись и Excel
• Elasticsearch, Filebeat, filebeat netflow module и Kibana Dashboard

• Elastic Stack для сетевого инженера

1. Какие задачи решают сенсоры, коллекторы и анализаторы в протоколе Netflow?
2. Пригоден ли протокол Netflow как источник данных для систем IDS/IPS?

• Архитектура моделей AAA оборудования Cisco
• Протокол RADIUS
• Протокол TACACS
• Протокол 802.1x
• Протокол SPAN

• Старая модель AAA преподаватель демонстрирует на router
• Новая модель AAA преподаватель демонстрирует на switch1
• Настраиваем новую модель AAA с локальной базой пользователей и настройками line con через Использование playbook

• Сервис FreeRADIUS (пользователи root и student, коммутаторы switchN)

• Преподаватель демонстрирует на switch1
• Настройка клиента RADIUS
• Использование RADIUS для аутентификации подключений на switch1
• Использование RADIUS для авторизации подключений на switch1

• Использование playbook для настроек RADIUS на switchN

• Сервис TACACS
• Преподаватель демонстрирует на switch1 Аутентификация и авторизация с использованием TACACS+
• Использование playbook для настроек на TACACS switchN

Бонусная лабораторная работа

• Настройка протокола EAP для 802.1x на FreeRADIUS
• Использование RADIUS для протокола 802.1x на switch3
• Настройка 802.1x на switch3
• Настройка 802.1X authentication в Windows (оставить только проверку подлинности пользователя, без компьютера!!! Может понадобиться “stut/no shut” для порта коммутатора)

• Настройка SPAN на switch1 (может потребоваться остановить/запустить server в GNS)

server# cat /etc/network/interfaces

...
auto eth1
iface eth1 inet manual
        up ip link set eth1 up

server# ifup eth1

ИЛИ

# cat /etc/netplan/01-netcfg.yaml

...
    bond1:
      interfaces: [eth2, eth3]
      parameters:
        mode: active-backup
        mii-monitor-interval: 100
        primary: eth2
  ethernets:
...
    eth2: {}
    eth3: {}

• Применяем Настройка Netplan
• Проверяем bond netplan

switch1#

conf t
interface FastEthernet0/15
shut
no shut
end

server# tcpdump -nni eth1 host 192.168.X.101

server# tcpdump -nni bond1 host 192.168.X.101

• Развертывание системы IDS (Сервис SNORT)
• Настройка snmp агента на router с разрешением на запись
• Развертывание системы IPS (Сервис Fail2ban Установка, Интеграция fail2ban и snort и Запуск и отладка)

1. Что обозначает аббревиатура AAA?
2. К чему в модели AAA относятся директивы username, password, login, exec, dot1x, privilege?
3. Кто является клиентом для RADIUS сервера?
4. Для чего используется общий секрет между RADIUS сервером и сервером доступа?
5. Какой протокол и порт по умолчанию использует RADIUS сервер для аутентификации?
6. Какой протокол и порт по умолчанию использует RADIUS сервер для учета?
7. Может ли сервер RADIUS использоваться для управления правами доступа администраторов в Cisco CLI?
8. Какой трафик в стандарте 802.1X разрешен для неавторизованного клиента?
9. Какой протокол и порт по умолчанию использует TACACS+ сервер?
10. В чем преимущества и недостатки протоколов RADIUS и TACACS+ ?
11. Можно ли использовать порт коммутатора Cisco одновременно и для SPAN и для передачи трафика адресованного подключенной к этому порту рабочей станции?
12. Пригодна ли технология Cisco SPAN как источник данных для систем IDS/IPS?
13. Почему системы IPS затруднительно использовать для блокировки передачи вирусных файлов по сети?

• Протокол 802.1q

• Настройка vlan через Программирование диалогов expect на switch1 и switch3
• Настройка EtherChannel на switch3
• 802.1q Настройка интерфейсов на switch1 и switch3
• Настройка Linux системы

server# sh conf/dhcp.sh

• Сервис DHCP (vlan2 и 100+X)
• Проверка конфигурации и запуск

1. Что обозначает термин Native VLAN?
2. Как увеличивается размер фрейма в протоколе 802.1q?

• Протоколы маршрутизации
• Протокол маршрутизации OSPF
• Протокол маршрутизации BGP

• !!! Потребовалось

# systemctl disable docker

# init 6

• Попробовать совет Дмитрия Евгеньевича, найденный в статье Docker and iptables

iptables -I DOCKER-USER -i src_if -o dst_if -j ACCEPT 

• Использование протоколов маршрутизации

1. Какие протоколы динамической маршрутизации Вам известны?
2. Чем характеризуется протокол OSPF?
3. Чем характеризуется протокол BGP?

1. Сохраняем конфигурацию и отключаем switch1
2. Переключаем LAN на 10-й порт switch2 или отключаем интерфейс f0/0 и включаем f0/1 на switch3
3. Включаем switch2
4. Отключаем интерфейс eth0 на server Настройка сети в Linux
5. Подключаемся по ssh к server (сессия может даже не прерваться:)
6. Отключаем интерфейс f1/0 и включаем f1/1 на router
7. Проверяем связь с Internet с server
8. Проводим базовую настройку Оборудование уровня 2 Cisco Catalyst switch2
9. Проводим Настройка SSH на switch2
10. Через Использование playbook ansible (aaa local) и Программирование диалогов expect обновляем конфигурацию на switch2
11. Настройка интерфейсов trunk на интерфейсах f0/1 и f0/2 на switch2
12. Проверяем доступ в Internet на client1
13. Настраиваем SPAN на switch2, отключаем интерфейс eth2 (Настройка сети в Linux) на server и проверяем работу IPS