User Tools

Site Tools


linux._мониторинг_оборудования_и_интеграция_с_cisco

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
Last revision Both sides next revision
linux._мониторинг_оборудования_и_интеграция_с_cisco [2022/02/24 14:39]
val [Лабораторные работы]
linux._мониторинг_оборудования_и_интеграция_с_cisco [2022/05/27 11:41]
val [Теория]
Line 1: Line 1:
 ====== Linux. Мониторинг оборудования и интеграция с Cisco ====== ====== Linux. Мониторинг оборудования и интеграция с Cisco ======
- 
- 
  
 ===== Программа курса ===== ===== Программа курса =====
Line 7: Line 5:
   * [[http://​www.specialist.ru/​course/​yun4-a|Linux. Уровень 7. Мониторинг оборудования и интеграция с решениями Cisco]]   * [[http://​www.specialist.ru/​course/​yun4-a|Linux. Уровень 7. Мониторинг оборудования и интеграция с решениями Cisco]]
  
-===== Вебинар =====+ 
 + 
 +===== Список ПО для установки в перерывах ​===== 
 + 
 +  - [[Технология Docker]] 
 +  - [[Сервис Ansible]] 
 +  - ansible-playbook conf/​ansible/​roles/​mail.yml 
 +  - [[Сервисы ELK]] Elasticsearch,​ Kibana и Logstash
  
 ===== Часть 1. Использование GNS для обучения работе с оборудованием Cisco ===== ===== Часть 1. Использование GNS для обучения работе с оборудованием Cisco =====
Line 18: Line 23:
  
   * Узнать свой номер стенда   * Узнать свой номер стенда
-  * Удалить ​виртуалки+  * Удалить ​VM с прошлых курсов
   * Удалить профили putty   * Удалить профили putty
-  * Отключить не используемые адаптеры, в том числе, vbox +  * Отключить не используемые адаптеры  ​
-  * Записать логин пароль и IP (сообщить преподаватель) рабочей станции+
   * Проверить наличие дистрибутивов и образов   * Проверить наличие дистрибутивов и образов
  
Line 27: Line 31:
 ==== Теория ==== ==== Теория ====
  
-  * Схема стенда 
   * [[http://​ru.wikipedia.org/​wiki/​Cisco_IOS|Cisco IOS]]   * [[http://​ru.wikipedia.org/​wiki/​Cisco_IOS|Cisco IOS]]
 +
 +
 +==== Схема стенда ====
 +{{ :​schema_gns_2022.png?​400 |}}
 +<​code>​
 +
 +ISP - [f0/0 router] 172.16.1.X/​24
 +
 +[router f1/0] - [f0/0 switch1]
 +[router f1/1] - [f0/0 switch2] ​                  
 +
 +router f1/0 + f1/1 = Port-channel1 192.168.X.1/​24
 +
 +[server eth0] - [f0/1 switch1]
 +[server eth1] - [f0/1 switch2]
 +
 +server eth0 + eth1 = bond0 192.168.X.10/​24
 +
 +[switch3 f0/0] - [f0/2 switch1]
 +[switch3 f0/1] - [f0/2 switch2]
 +
 +switch3 f0/0 + f0/1 = Port-channel1
 +
 +[client1] - [f0/2 switch3]
 +
 +LAN - [f0/10 switch1 или switch2]  ​
 +!!! Можно через неуправляемый switch подключить к обоим коммутаторам
 +!!! Еще лучше подключить LAN к 15-му порту switch3 и поменять символ Cloud на Computer
 +</​code>​
 +
 +
  
 ==== Лабораторные работы:​ Знакомство с оборудованием Cisco ==== ==== Лабораторные работы:​ Знакомство с оборудованием Cisco ====
Line 34: Line 68:
 === 1.1 Знакомство с интерфейсом GNS === === 1.1 Знакомство с интерфейсом GNS ===
  
 +  * Методическая рекомендация:​ запустить импорт Vbox Win VM client1
   * [[Материалы по GNS]]   * [[Материалы по GNS]]
   * Добавляем router и подключаем его к isp   * Добавляем router и подключаем его к isp
Line 45: Line 80:
 === 1.3 Настройка router === === 1.3 Настройка router ===
  
-  * [[Оборудование уровня 3 Cisco Router]]+  * [[Оборудование уровня 3 Cisco Router]] ​с EtherChannel
   * [[Оборудование уровня 3 Cisco Router#​Настройка DHCP сервиса]] (через блокнот)   * [[Оборудование уровня 3 Cisco Router#​Настройка DHCP сервиса]] (через блокнот)
  
 === 1.4 Добавление VM client1 в GNS === === 1.4 Добавление VM client1 в GNS ===
  
-  * Добавляем ​switch без настроек +  * Добавляем ​и подключаем switch1, switch2 и switch3 
-  * Подключение ​Vbox VM client1+  * Добавляем и подключаем Vbox VM client1 
 +  * Запускаем switch1 и switch3 без настройки 
 + 
 +<​code>​ 
 +C:\> ipconfig 
 + 
 +C:\> ping 1.1.1.1 
 +</​code>​
  
 ==== Вопросы ==== ==== Вопросы ====
Line 69: Line 111:
 === 2.1 Добавление server в GNS === === 2.1 Добавление server в GNS ===
 <​code>​ <​code>​
-  ​В VBox первую карту подключаем мостом  +   Назначить 8Gb RAM и 2 CPU 
-  - В GNS назначить ​сетевых адаптера, НЕ разрешая ​использовать, то что настроено в VirtualBox. Использовать Ethernet1 и 2+   ​- В GNS назначить ​сетевых адаптера ​(или 4-ре при ​использовании bond) 
 +   - При увеличении числа адаптеров требуется указать их количество в свойствах VM и в свойствах объекта на карте
 </​code>​ </​code>​
  
-=== 2.2 Подключение server к switch ​в GNS ===+=== 2.2 Подключение server к switch1 и switch2 ​в GNS === 
 + 
 +  * Добавить server и подключить его к switch1 и switch2 
 +  * Добавить LAN в схему стенда 
 +  * Выключить и включить switch1 
 +  * Провести [[netsh#​Настройка IP]] на хост системе и проверить ее связь с router 
 + 
 +=== 2.3 Настройка базовой конфигурации server === 
 <​code>​ <​code>​
-conf t +# ifconfig eth0 inet 192.168.X.10/24
-int f0/+
-shutdown +
-no shutdown +
-end+
 </​code>​ </​code>​
  
-=== 2.3 Настройка базовой ​конфигурации ​server ​===+  * Подключаемся ssh к server
  
 <​code>​ <​code>​
-ifconfig eth0 inet 10.5.11.100+X/24+# cat /​etc/​hostname 
 +</​code><​code>​ 
 +server.corpX.un
 </​code>​ </​code>​
 +
 +  * Настройка сети через [[Настройка сети в Linux#​netplan]]
 +  * [[Настройка сети в Linux#​Настройка bonding]]
 +
 <​code>​ <​code>​
-# sh net_server.sh+# init 6 
 + 
 +# sh conf/dns.sh
 ... ...
 +
 +# cat /​etc/​bind/​corpX.un
 </​code><​code>​ </​code><​code>​
-# cat /etc/hosts+$TTL      3h 
 +@         ​SOA ​    ns root.ns ​ 1 1d 12h 1w 3h 
 +          NS      ns 
 +          A       ​192.168.X.10 
 +ns        A       ​192.168.X.10 
 +server ​   A       ​192.168.X.10 
 + 
 +router ​   A       ​192.168.X.1 
 +switch1 ​  ​A ​      ​192.168.X.51 
 +switch2 ​  ​A ​      ​192.168.X.52 
 +switch3 ​  ​A ​      ​192.168.X.53
 </​code><​code>​ </​code><​code>​
-127.0.0.1 ​           localhost+# service named restart
  
-192.168.X.10 ​        ​server.corpX.un server +# cat /etc/resolv.conf
- +
-10.5.11.254 ​          proxy+
 </​code><​code>​ </​code><​code>​
-# cat /​etc/​network/​interfaces+search corpX.un 
 +nameserver 192.168.X.10
 </​code><​code>​ </​code><​code>​
-auto lo +# host router
-iface lo inet loopback+
  
-auto eth0 +# ping ya.ru 
-iface eth0 inet static +</​code>​
-        address 10.5.11.100+X +
-        ​netmask 255.255.255.0+
  
-auto eth1 +  * Вместо [[Сервис DNS#​Настройка сервера зоны обратного преобразования X.168.192.IN-ADDR.ARPA]], понадобится для генерации имен файлов с конфигурацией коммутаторов
-iface eth1 inet static +
-        address 192.168.X.10 +
-        netmask 255.255.255.0 +
-        gateway ​192.168.X.1+
  
-auto eth2 +<​code>​ 
-iface eth2 inet manual +# cat /etc/hosts
-        up ip link set eth2 up+
 </​code><​code>​ </​code><​code>​
-# cat .bashrc +127.0.0.localhost
-</​code><​code>​ +
-..+
-export http_proxy=http://​proxy:​3128/​ +
-... +
-</​code><​code>​ +
-root@localhost:~# init 6+
  
-...+192.168.X.10 server.corpX.un server
  
-root@server:​~apt update+192.168.X.51 switch1 
 +192.168.X.52 switch2 
 +192.168.X.53 switch3 
 +</​code><​code>​ 
 +getent hosts 192.168.X.51
 </​code>​ </​code>​
 ===== Часть 2. Мониторинг оборудования. Задачи и инструменты ===== ===== Часть 2. Мониторинг оборудования. Задачи и инструменты =====
Line 159: Line 215:
 </​code>​ </​code>​
  
 +  * [[Сервис speedtest]] демонстрирует преподаватель
   * [[Утилита iPerf]]   * [[Утилита iPerf]]
 +  * Примечание1:​ для чистоты замеров можно остановить client1
 +  * Примечание2:​ в GNS, исходящий трафик более 100К характеризуется увеличивающимися потерями (до 90 процентов на 1Мб), с входящим проблем не замечено
  
 <​code>​ <​code>​
-router#show interface ​f1/0+router#show interface ​f0/0
  
-router#show interface ​f1/1+router#show interface ​port-channel ​1
 </​code>​ </​code>​
  
Line 175: Line 234:
   * Поиск OID оборудования cisco.com -> Search -> SNMP Object Navigator -> SEARCH -> busy   * Поиск OID оборудования cisco.com -> Search -> SNMP Object Navigator -> SEARCH -> busy
   * [[Общие настройки сетевого оборудования Cisco#​Настройка snmp агента]] на router с разрешением на чтение   * [[Общие настройки сетевого оборудования Cisco#​Настройка snmp агента]] на router с разрешением на чтение
-  * Установка snmp консоли ([[Сервис SNMP#Установка пакета net-snmp]])+  * [[Сервис SNMP#Установка snmp консоли]] (по окончании,​ преподавателю запустить установку mrtg и cacti)
   * [[Сервис SNMP#​Варианты использования snmp консоли в режиме чтения]]   * [[Сервис SNMP#​Варианты использования snmp консоли в режиме чтения]]
   * [[http://​val.bmstu.ru/​unix/​MIB%20Browser%20setup.exe|MIB Browser]] [[http://​www.ireasoning.com/​]]   * [[http://​val.bmstu.ru/​unix/​MIB%20Browser%20setup.exe|MIB Browser]] [[http://​www.ireasoning.com/​]]
Line 183: Line 242:
  
   * [[Локализация системы#​Локализация временной зоны]]   * [[Локализация системы#​Локализация временной зоны]]
-  * [[Сервис MRTG]] (демонстрирует преподаватель) +  * [[Сервис MRTG]] (демонстрирует преподаватель ​за время установки Prometheus
-  * [[Сервис Cacti]] (демонстрирует преподаватель)+  * [[Сервис Cacti]] (демонстрирует преподаватель ​за время установки Docker и Grafana)
   * [[Сервис Prometheus]]   * [[Сервис Prometheus]]
   * [[Сервис Prometheus#​prometheus-snmp-exporter]]   * [[Сервис Prometheus#​prometheus-snmp-exporter]]
Line 212: Line 271:
   * [[http://​ru.wikipedia.org/​wiki/​Система_управления_версиями|Системы управления версиями]]   * [[http://​ru.wikipedia.org/​wiki/​Система_управления_версиями|Системы управления версиями]]
   * [[https://​habr.com/​ru/​post/​339844/​|Cisco IOS функционал Archive]]   * [[https://​habr.com/​ru/​post/​339844/​|Cisco IOS функционал Archive]]
 +  * [[https://​simpleone.ru/​blog/​upravlenie-konfiguracziyami-i-sovremennye-trebovaniya-k-cmdb/#:​~:​text=CMDB%20%E2%80%93%20%D0%BE%D0%B4%D0%B8%D0%BD%20%D0%B8%D0%B7%20%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%B2%D1%8B%D1%85%20%D1%8D%D0%BB%D0%B5%D0%BC%D0%B5%D0%BD%D1%82%D0%BE%D0%B2,​%D0%BE%20%D0%B2%D0%B7%D0%B0%D0%B8%D0%BC%D0%BE%D1%81%D0%B2%D1%8F%D0%B7%D1%8F%D1%85%20%D0%BC%D0%B5%D0%B6%D0%B4%D1%83%20%D1%8D%D1%82%D0%B8%D0%BC%D0%B8%20%D1%8D%D0%BB%D0%B5%D0%BC%D0%B5%D0%BD%D1%82%D0%B0%D0%BC%D0%B8.|Управление конфигурациями и современные требования к CMDB]]
 ==== Лабораторные работы ==== ==== Лабораторные работы ====
  
Line 219: Line 278:
   * [[Сервис ТFTP]]   * [[Сервис ТFTP]]
   * [[Оборудование уровня 3 Cisco Router#​Настройка пакетного фильтра]] на Cisco router   * [[Оборудование уровня 3 Cisco Router#​Настройка пакетного фильтра]] на Cisco router
 +
 +<​code>​
 +gate.isp.un$ wget -O - http://​192.168.X.10:​3000
 +</​code>​
 +
   * [[Операции с файловыми системами в IOS]]   * [[Операции с файловыми системами в IOS]]
  
Line 227: Line 291:
   * [[Сервисы TELNET RSH#​Установка клиента]] rsh   * [[Сервисы TELNET RSH#​Установка клиента]] rsh
   * [[Сервисы TELNET RSH#​Варианты использования]] rcmd сервисов в Cisco   * [[Сервисы TELNET RSH#​Варианты использования]] rcmd сервисов в Cisco
- 
-<​code>​ 
-server# rsh router show ip dhcp binding 
-</​code>​ 
- 
-  * Сервис MRTG [[Сервис MRTG#​Использование скриптов]] 
-  * [[Сервис Prometheus#​prometheus-pushgateway]] 
-  * [[Сервис DHCP#​Поиск посторонних DHCP серверов]] 
  
 === 4.3.Использование сервисов SSH, SCP и Ansible === === 4.3.Использование сервисов SSH, SCP и Ansible ===
  
   * [[Оборудование уровня 2 Cisco Catalyst]]   * [[Оборудование уровня 2 Cisco Catalyst]]
-  * [[Общие настройки сетевого оборудования Cisco#​Настройка SSH]] на Cisco switch, (можно не включать сервис SCP)+  * [[Общие настройки сетевого оборудования Cisco#​Настройка SSH]] на switch1 и switch3, (можно не включать сервис SCP) 
 +  * При выключении стенда в конфигурации не сохраняются ключи ssh в коммутаторах,​ необходимо 
 +<​code>​ 
 +crypto key generate rsa general-keys modulus 1024 
 +</​code>​
   * Может потребоваться [[Сервис SSH#​Настройка ssh клиента]] для согласования алгоритмов шифрования   * Может потребоваться [[Сервис SSH#​Настройка ssh клиента]] для согласования алгоритмов шифрования
   * [[Программирование диалогов expect]] (включаем scp)   * [[Программирование диалогов expect]] (включаем scp)
   * [[Общие настройки сетевого оборудования Cisco#​Аутентификация по публичному ключу]] (может не поддерживаться,​ в этом случае использовать [[Сервис SSH#​Парольная аутентификация]])   * [[Общие настройки сетевого оборудования Cisco#​Аутентификация по публичному ключу]] (может не поддерживаться,​ в этом случае использовать [[Сервис SSH#​Парольная аутентификация]])
   * [[Сервис SSH#SSH вместо RCP (SCP)]]   * [[Сервис SSH#SSH вместо RCP (SCP)]]
-  * Сервис Ansible [[Сервис Ansible#​Установка на управляющей системе]],​ [[Сервис Ansible#​Настройка групп управляемых систем]] и [[Сервис Ansible#​Использование модулей]]+  * Сервис Ansible [[Сервис Ansible#​Установка на управляющей системе]],​ [[Сервис Ansible#​Настройка групп управляемых систем]], [[Сервис Ansible#​Настройка транспорта ssh]] и [[Сервис Ansible#​Использование модулей]]
  
 === 4.4 Регистрация изменений конфигурации === === 4.4 Регистрация изменений конфигурации ===
Line 269: Line 329:
 # crontab -l # crontab -l
 </​code><​code>​ </​code><​code>​
-* * * * * /​root/​cdp_save.sh >/​dev/​null 2>&1+0 3 * * * /​root/​cdp_save.sh >/​dev/​null 2>&1
 </​code>​ </​code>​
  
 === 4.6 Управление конфигурацией с использованием протокола SNMP === === 4.6 Управление конфигурацией с использованием протокола SNMP ===
  
-  * [[Общие настройки сетевого оборудования Cisco#​Настройка snmp агента]] на switch ​с разрешением на запись +  * [[Общие настройки сетевого оборудования Cisco#​Настройка snmp агента]] на switchN ​с разрешением на запись ​(можно через [[Сервис Ansible#​Использование playbook]] Ansible) 
-  * [[Сервис SNMP#​Варианты использования протокола SNMP в режиме записи]]+  * [[Сервис SNMP#​Варианты использования протокола SNMP в режиме записи]] ​для switch3 
 + 
 +=== 4.7 Использование snmptrap для получения сигнала об изменении конфигурации === 
 + 
 +  * [[Сервис SNMP#​Настройка snmptrapd сервиса]] на регистрацию всех событий 
 +  * [[Общие настройки сетевого оборудования Cisco#​Настройка адреса перехватчика trap сообщений]] и [[Общие настройки сетевого оборудования Cisco#​Настройка генерации trap-ов]] на изменение конфигурации switchN (можно через [[Сервис Ansible#​Использование playbook]] Ansible) 
 +  * [[Сервис SNMP#​Настройка snmptrapd сервиса]] на резервное копирование конфигурации (демонстрирует преподаватель,​ слушатели сделают вариант с ELK Logstash)
  
 ==== Вопросы ==== ==== Вопросы ====
Line 297: Line 363:
 === 5.1 Настройка уведомлений о проблемах === === 5.1 Настройка уведомлений о проблемах ===
  
-  ​* [[Сервис Nagios]] [[Сервис MTA#​Использование почтовых псевдонимов]] +Развертывание почтового сервера 
-  * Сервис Grafana [[Сервис Grafana#​Настройка уведомлений]] + 
-  * [[Сервис Prometheus#​prometheus-blackbox-exporter]]+<​code>​ 
 +# ansible-playbook conf/​ansible/​roles/​mail.yml 
 +</​code>​ 
 + 
 +Мониторинг доступности оборудования и сервисов 
 + 
 +  ​* [[Сервис Nagios]] ​(понадобится ​[[Сервис MTA#​Использование почтовых псевдонимов]]) демонстрирует преподаватель 
 +  * Сервис ​[[Сервис Prometheus#​prometheus-blackbox-exporter]]
   * [[Сервис Grafana#​Grafana dashboard]]   * [[Сервис Grafana#​Grafana dashboard]]
-  * Видеоурок: [[https://​youtu.be/​RBCEef43FBQ|Развертывание и настройка ​Prometheus ​и Grafana]]+  * Сервис ​[[Сервис Prometheus#​prometheus-alertmanager]]
  
-=== 5.2 Управление и анализ журналов ===+Мониторинг количества выданных ​адресов
  
-  * Сервис rsyslog [[Регистрация событий в Linux#​Настройка на обработку сообщений типа local0]] и [[Регистрация событий в Linux#​Регистрация сообщений,​ переданных по сети]] +<​code>​ 
-  * [[Общие настройки сетевого оборудования Cisco#Управление log сообщениями]] в оборудовании Cisco (router) +serverrsh router ​show ip dhcp binding 
-  * [[Сервис Ansible#​Использование playbook]] Ansible для массовой настройки клиента syslog в cisco (switch)+</​code>​
  
-Историческая ретроспектива - использование монолитного пакета ​ciscoconf ​в FreeBSD+  * Сервис MRTG [[Сервис MRTG#Использование скриптов]] и Сервис Nagios [[Сервис Nagios#​Интеграция с MRTG]] (обсудить) 
 +  * Сервис [[Сервис Prometheus#​prometheus-pushgateway]] 
 +  * [[Сервис DHCP#​Поиск посторонних DHCP серверов]] 
 +  * [[Сервис ​Grafana#​Grafana dashboard]] и, можно в следующих лабораторных, [[Сервис Grafana#​Настройка уведомлений]] 
 +  * Домашнее задание - настроить [[Сервис Prometheus#​prometheus-alertmanager]] ​на уведомление ​о превышении ​количества выданных адресов
  
-  * Резервное копирование конфигурации с использованием [[Резервное копирование конфигурации Ciscoакет ciscoconf]]+=== 5.2 Управление и анализ журналов === 
 + 
 +  * !!! Методическая рекомендация - запустить инсталляцию [[Сервисы ELK]] Elasticsearch,​ Kibana и Logstash 
 + 
 +  * Сервис rsyslog [[Регистрация событий ​в Linux#​Настройка на обработку сообщений типа local0]] и [[Регистрация событий в Linux#​Регистрация сообщений, переданных по сети]] 
 +  * [[Общие настройки сетевого оборудования Cisco#​Управление log сообщениями]] в оборудовании Cisco (показать на router, для switch аналогично) 
 +  * Обсудить в видео "​[[https://​youtu.be/​zUi4lTd5WHc|Система управления ​конфигурациями Ansible и оборудование ​Cisco]]" использование журнала для выбора момента резервного копирования с помощью [[Сервис Fail2ban]]  
  
-Использование ​современных модульных решений +  * Мастер класс [[https://​youtu.be/​EvuEjXhDMNQ|Elastic Stack для сетевого инженера]] 
-  +  * Запускаем/​знакомимся ​с [[Сервисы ELK#Elasticsearch]] и подключаемся к нему из [[Сервисы ELK#Kibana]]
-  * Сервис Fail2ban ​[[Сервис ​Fail2ban#Установка]], [[Сервис Fail2ban#Интеграция fail2ban и cisco log]] и [[Сервис ​Fail2ban#Запуск и отладка]] ([[https://​youtu.be/​zUi4lTd5WHc|Видео урок]])+
  
-=== 5.3.1 Использование ​snmptrap ===+  * Разворачиваем на server [[Сервис NTP]] 
 +  * [[Общие настройки сетевого оборудования Cisco#​Настройка времени]] и [[Общие настройки сетевого оборудования Cisco#​Управление log сообщениями]] на порт 8514 для switchN через Ansible [[Сервис Ansible#Использование ​playbook]] 
 +  * Копирование журналов коммутаторов на STDOUT и в Elasticsearch сервисом [[Сервисы ELK#​Logstash]]
  
-  * [[Сервис SNMP#Настройка snmptrapd сервиса]] +  * Отключение резервного ​копирования в [[Сервис SNMP#​Настройка ​snmptrapd сервиса]] 
-  * [[Общие настройки сетевого оборудования ​Cisco#​Настройка адреса перехватчика trap сообщений]] на cisco switch +  * Резервное копирование конфигупации с использованием ​анализа журнала ​сервисом [[Сервисы ELK#​Logstash]]
-  * [[Общие настройки сетевого оборудования Cisco#​Настройка ​генерации trap-ов]] и [[Оборудование уровня 2 Cisco Catalyst#​storm-control]] на cisco switch +
-  * Резервное копирование конфигурации с использованием с использованием snmptrap ​+
  
-=== 5.3.2 Использование ​Logstash ​===+=== 5.3 Использование ​snmptrap ​===
  
-    ​Видео урок[[https://​youtu.be/​EvuEjXhDMNQ|Elastic Stack для сетевого инженера]] ​(до 46:30)+  ​[[Общие настройки сетевого оборудования Cisco#​Настройка генерации trap-ов]] на уведомление о "​падении"​ линка 
 +  * Настройка [[Сервис SNMP#​Настройка snmptrapd сервиса]] на уведомление о "​падении"​ линка (не удалось ​воспроизвести на стенде ситуацию,​ провоцирующую [[Оборудование уровня 2 Cisco Catalyst#​storm-control]]) на switch
  
 === 5.4 Настройка уведомлений в о критических нагрузках === === 5.4 Настройка уведомлений в о критических нагрузках ===
  
-  * [[Сервис Nagios#​Использование plugin check_snmp]] +  * Сервис Nagios ​[[Сервис Nagios#​Использование plugin check_snmp]] или [[Сервис Nagios#​Интеграция с MRTG]] 
-  * Сервис Grafana [[Сервис Grafana#​Настройка уведомлений]] +  * Сервис [[Сервис Prometheus#​prometheus-alertmanager]] 
-  * [[Общие настройки сетевого оборудования Cisco#​Использование RMON подсистемы протокола SNMP]] на cisco router+  * Сервис Grafana [[Сервис Grafana#​Настройка уведомлений]] ​(обсудить) 
 +  * [[Сервис SNMP#​Настройка snmptrapd сервиса]] на обработку сообщений,​ полученных с [[Общие настройки сетевого оборудования Cisco#​Использование RMON подсистемы протокола SNMP]] на cisco router
 ==== Вопросы ==== ==== Вопросы ====
  
Line 348: Line 432:
 ==== Лабораторные работы ==== ==== Лабораторные работы ====
  
 +  * [[Общие настройки сетевого оборудования Cisco#​Настройка времени]] на router
   * [[Оборудование уровня 3 Cisco Router#​Настройка экспорта статистики по протоколу NetFlow]]   * [[Оборудование уровня 3 Cisco Router#​Настройка экспорта статистики по протоколу NetFlow]]
-  * [[Пакет flow-tools]] +  * [[Пакет flow-tools]] или [[Пакет nfdump]] 
-  * Файловый сервер SAMBA [[Файловый сервер SAMBA#​Публичный каталог доступный на запись]] +  * Файловый сервер SAMBA [[Файловый сервер SAMBA#​Публичный каталог доступный на запись]] ​и [[Excel]] 
-  * [[Excel]] +  * [[Сервисы ELK#​Elasticsearch]], ​[[Сервисы ELK#​Filebeat]],​ [[Сервисы ELK#​filebeat netflow module]] и [[Сервисы ELK#Kibana Dashboard]] 
-  * Видео урок: [[https://​youtu.be/​EvuEjXhDMNQ|Elastic Stack для сетевого ​инженера]] (с 46:30)+
  
 ==== Вопросы ==== ==== Вопросы ====
Line 373: Line 458:
 === 7.1 Использование локальных учетных записей администраторов === === 7.1 Использование локальных учетных записей администраторов ===
  
-  * [[AAA#​Старая модель AAA]] можно ​показать на router  +  * [[AAA#​Старая модель AAA]] преподаватель демонстрирует ​на router  
-  * [[Общие настройки сетевого оборудования Cisco#Настройка ​SSH]] на switch +  * [[AAA#​Новая модель AAA]] преподаватель демонстрирует на switch1 
-  * [[AAA#Новая модель AAA]] на switch+  * Настраиваем новую модель AAA с локальной базой пользователей ​и настройками line con через ​[[Сервис Ansible#Использование playbook]]
  
 === 7.2 Использование RADUIS для хранения учетных записей администраторов === === 7.2 Использование RADUIS для хранения учетных записей администраторов ===
  
-<​code>​ +  * [[Сервис FreeRADIUS]] ​(пользователи root и student, коммутаторы switchN) 
-switch(config)#no username root + 
-switch(config)#no username user1 +  * Преподаватель демонстрирует на switch1 
-</​code>​+  * [[AAA#Настройка клиента RADIUS]] 
 +  * [[AAA#Использование RADIUS для аутентификации подключений]] на switch1 
 +  * [[AAA#​Использование RADIUS для авторизации подключений]] на switch1
  
-  * [[Сервис ​FreeRADIUS]] +  * [[Сервис ​Ansible#​Использование ​playbook]] ​для настроек RADIUS ​на switchN
-  * [[AAA#​Настройка клиента RADIUS]] на switch +
-  * [[AAA#​Использование ​RADIUS ​для ​аутентификации подключений]] на switch +
-  * [[AAA#Использование RADIUS для авторизации подключений]] ​на switch+
  
 === 7.3 Использование TACACS для хранения учетных записей администраторов === === 7.3 Использование TACACS для хранения учетных записей администраторов ===
  
   * [[Сервис TACACS]]   * [[Сервис TACACS]]
-  * [[AAA#​Аутентификация и авторизация с использованием TACACS+]]+  * Преподаватель демонстрирует на switch1 ​[[AAA#​Аутентификация и авторизация с использованием TACACS+]] 
 +  * [[Сервис Ansible#​Использование playbook]] для настроек на TACACS switchN
  
 === 7.4 Использование RADUIS для аутентификации пользователей === === 7.4 Использование RADUIS для аутентификации пользователей ===
 +
 +Бонусная лабораторная работа
  
   * Настройка протокола [[Сервис FreeRADIUS#​EAP]] для 802.1x на FreeRADIUS   * Настройка протокола [[Сервис FreeRADIUS#​EAP]] для 802.1x на FreeRADIUS
-  * [[AAA#​Использование RADIUS для протокола 802.1x]] на switch +  * [[AAA#​Использование RADIUS для протокола 802.1x]] на switch3 
-  * [[Оборудование уровня 2 Cisco Catalyst#​Настройка 802.1x]] на switch +  * [[Оборудование уровня 2 Cisco Catalyst#​Настройка 802.1x]] на switch3 
-  * Настройка ​Windows ([[Материалы по Windows#​802.1X authentication]])+  * Настройка [[Материалы по Windows#​802.1X authentication]] ​в Windows (оставить только проверку подлинности пользователя,​ без компьютера!!! Может понадобиться "​stut/​no shut" для порта коммутатора)
  
 === 7.5 Развертывание систем IDS и IPS === === 7.5 Развертывание систем IDS и IPS ===
  
-  * Настройка [[Оборудование уровня 2 Cisco Catalyst#​SPAN]] на Cisco Catalyst ​(может потребоваться остановить/​запустить server в GNS)+  * Настройка [[Оборудование уровня 2 Cisco Catalyst#​SPAN]] на switch1 ​(может потребоваться остановить/​запустить server в GNS)
 <​code>​ <​code>​
-switch#conf t+servercat /​etc/​network/​interfaces 
 +</​code><​code>​ 
 +... 
 +auto eth1 
 +iface eth1 inet manual 
 +        up ip link set eth1 up 
 +</​code><​code>​ 
 +server# ifup eth1 
 +</​code>​ 
 + 
 +ИЛИ 
 + 
 +<​code>​ 
 +# cat /​etc/​netplan/​01-netcfg.yaml 
 +</​code><​code>​ 
 +... 
 +    bond1: 
 +      interfaces: [eth2, eth3] 
 +      parameters:​ 
 +        mode: active-backup 
 +        mii-monitor-interval:​ 100 
 +        primary: eth2 
 +  ethernets:​ 
 +... 
 +    eth2: {} 
 +    eth3: {} 
 +</​code>​ 
 + 
 +  * Применяем конфигурацию [[Настройка сети в Linux#​netplan]] 
 +  * Проверяем [[Настройка сети в Linux#bond netplan]] 
 + 
 +<​code>​ 
 +switch1# 
 + 
 +conf t
 interface FastEthernet0/​15 interface FastEthernet0/​15
 shut shut
 no shut no shut
- 
-interface FastEthernet0/​2 
-no dot1x port-control auto 
- 
 end end
 +</​code><​code>​
 +server# tcpdump -nni eth1 host 192.168.X.101
  
- +server# tcpdump -nni bond1 host 192.168.X.101
-server# tcpdump -nni eth2 tcp+
 </​code>​ </​code>​
   * Развертывание системы IDS ([[Сервис SNORT]])   * Развертывание системы IDS ([[Сервис SNORT]])
-  * Развертывание системы IPS (в Linux [[Сервис Fail2ban#​Интеграция fail2ban и snort]])+  * Развертывание системы IPS (Сервис Fail2ban [[Сервис Fail2ban#​Установка]], ​[[Сервис Fail2ban#​Интеграция fail2ban и snort]] и [[Сервис Fail2ban#​Запуск и отладка]])
  
 ==== Вопросы ==== ==== Вопросы ====
Line 448: Line 566:
 ==== Лабораторные работы ==== ==== Лабораторные работы ====
  
-  * [[Использование протокола 802.1q]] +  * [[Использование протокола 802.1q#​Настройка vlan]] через [[Программирование диалогов expect]] на switch1 и switch3 
 +  * [[Оборудование уровня 2 Cisco Catalyst#​Настройка EtherChannel]] на switch3 
 +  * 802.1q [[Использование протокола 802.1q#​Настройка интерфейсов]] на switch1 и switch3 
 +  * [[Использование протокола 802.1q#​Настройка Linux системы]] 
 +<​code>​ 
 +server# sh conf/​dhcp.sh 
 +</​code>​ 
 +  * [[Сервис DHCP]] 
 +  * [[Сервис DHCP#​Проверка конфигурации и запуск]]
 ==== Вопросы ==== ==== Вопросы ====
  
Line 458: Line 583:
 ==== Теория ==== ==== Теория ====
  
-  * [[http://​ru.wikipedia.org/​wiki/​Протокол_маршрутизации|Протоколы маршрутизации]] +  * [[https://​ru.wikipedia.org/​wiki/​Протокол_маршрутизации|Протоколы маршрутизации]] 
-  * [[http://​ru.wikipedia.org/​wiki/​OSPF|Протокол маршрутизации OSPF]] +  * [[https://​ru.wikipedia.org/​wiki/​OSPF|Протокол маршрутизации OSPF]] 
-  * [[http://habrahabr.ru/post/101796/|Маршрутизация на основе политик]]+  * [[https://ru.wikipedia.org/wiki/Border_Gateway_Protocol|Протокол маршрутизации ​BGP]]
  
 ==== Лабораторные работы ==== ==== Лабораторные работы ====
  
-  * Использование списков доступа [[Использование списков доступаля организации ​сервиса NAT]] (не обязательно) +  * !!! Потребовалось ​ 
-  * [[Использование протоколов маршрутизации]] ​!!! включение OSPF замедляет работу GNS !!! + 
-  * [[Использование двух ISP]] ([[https://​youtu.be/​H8F97J8yG4k|Видео урок]]) (не обязательно)+<​code>​ 
 +# systemctl disable docker 
 + 
 +# init 6 
 +</​code>​ 
 + 
 +  * [[Использование протоколов маршрутизации]]
  
 ==== Вопросы ==== ==== Вопросы ====
Line 472: Line 603:
   - Какие протоколы динамической маршрутизации Вам известны?​   - Какие протоколы динамической маршрутизации Вам известны?​
   - Чем характеризуется протокол OSPF?   - Чем характеризуется протокол OSPF?
-  - Что обозначает термин ​PBR?+  - Чем характеризуется протокол BGP? 
 + 
 +===== Модуль 10. Тестирование отказоустойчивости ядра сети ===== 
 + 
 +  - Сохраняем конфигурацию и отключаем switch1 
 +  - Переключаем LAN на 10-й порт switch2 
 +  - Включаем switch2 
 +  - Отключаем интерфейс eth0 на server [[Настройка сети в Linux]] 
 +  - Подключаемся по ssh к server (сессия может даже не прерваться:​) 
 +  - Отключаем интерфейс f1/0 и включаем f1/1 на router 
 +  - Проверяем связь с Internet с server 
 +  - Проводим ​базовую настройку [[Оборудование уровня 2 Cisco Catalyst]] switch2 
 +  - Проводим [[Общие настройки сетевого оборудования Cisco#​Настройка SSH]] на switch2 
 +  - Через [[Сервис Ansible#​Использование playbook]] ansible и [[Программирование диалогов expect]] обновляем конфигурацию на switch2 
 +  - [[Использование протокола 802.1q#​Настройка интерфейсов]] trunk на интерфейсах f0/1 и f0/2 на switch2 
 +  - Отключаем интерфейс f0/0 и включаем f0/1 на switch3 
 +  - Проверяем доступ в Internet на client1 
 +  - Настраиваем [[Оборудование уровня 2 Cisco Catalyst#​SPAN]] на switch2, отключаем интерфейс eth2 ([[Настройка сети в Linux]]) на server и проверяем работу IPS
linux._мониторинг_оборудования_и_интеграция_с_cisco.txt · Last modified: 2022/06/24 10:15 by val