• Linux. Уровень 7. Мониторинг оборудования и интеграция с решениями Cisco

• Dynamips
• Graphical Network Simulator-3
• What is GNS3?

• Узнать свой номер стенда
• Удалить виртуалки
• Удалить профили putty
• Отключить не используемые адаптеры, в том числе, vbox
• Записать логин пароль и IP (сообщить преподаватель) рабочей станции
• Проверить наличие дистрибутивов и образов

• Схема стенда
• Cisco IOS

• Материалы по GNS
• Добавляем router и подключаем его к isp

• Интерфейс командной строки в IOS
• Установка времени (clock set ?)
• Управление конфигурацией (running-config, startup-config)

• Оборудование уровня 3 Cisco Router
• Настройка DHCP сервиса (через блокнот)

• Добавляем switch без настроек
• Подключение Vbox VM client1

1. Какая команда в Cisco используется для поиска строк, содержащих заданный образец?
2. Какая клавиша выводит варианты набора команды в Cisco?
3. Какая клавиша дописывает ключевые слова команды в Cisco?

• Управление компьютерной сетью

  - В VBox первую карту подключаем мостом 
  - В GNS назначить 3 сетевых адаптера, НЕ разрешая использовать, то что настроено в VirtualBox. Использовать Ethernet1 и 2

conf t
int f0/1
shutdown
no shutdown
end

ifconfig eth0 inet 10.5.11.100+X/24

# sh net_server.sh
...

# cat /etc/hosts

127.0.0.1            localhost

192.168.X.10         server.corpX.un server

10.5.11.254           proxy

# cat /etc/network/interfaces

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address 10.5.11.100+X
        netmask 255.255.255.0

auto eth1
iface eth1 inet static
        address 192.168.X.10
        netmask 255.255.255.0
        gateway 192.168.X.1

auto eth2
iface eth2 inet manual
        up ip link set eth2 up

# cat .bashrc

...
export http_proxy=http://proxy:3128/
...

root@localhost:~# init 6

...

root@server:~# apt update

• FCAPS — модель администрирования и управления сетями
• Циклопедия:Списки:Системы мониторинга сети

• Bog BOS: Производительность сети и её измерение
• Анализ производительности сети в UNIX
• Тестирование_производительности - Wikipedia
• Протокол SNMP - Wikipedia
• Архитектура RRD баз данных - Wikipedia
• Протокол RMON - Wikipedia

• Утилита ping

Host:  gate.isp.un
Login: userX
Pass:  

• Утилита iPerf

router#show interface f1/0

router#show interface f1/1

router#show processes cpu

• Поиск OID оборудования cisco.com → Search → SNMP Object Navigator → SEARCH → busy
• Настройка snmp агента на router с разрешением на чтение
• Установка snmp консоли (Установка пакета net-snmp)
• Варианты использования snmp консоли в режиме чтения
• MIB Browser http://www.ireasoning.com/
• The Dude by MikroTik

• Локализация временной зоны
• Сервис MRTG (демонстрирует преподаватель)
• Сервис Cacti (демонстрирует преподаватель)
• Сервис Prometheus
• prometheus-snmp-exporter
• Сервис Grafana

1. Назовите характеристики сети, относящиеся к производительности.
2. Можно ли измерить пропускную способность сети утилитой ping ?
3. Что обозначает аббревиатура SNMP?
4. Какой протокол и порт по умолчанию использует агент SNMP для запросов?
5. Назовите основные команды протокола SNMP.
6. Какая утилита пакета используется для перебора значений внутри заданного OID’ом диапазона?
7. Как соотносятся MIB и OID в SNMP?
8. Как меняется размер базы данных RRD?

• Протокол CDP
• Протокол LLDP
• Протокол TFTP
• Протоколы RSH/RCP
• Системы управления версиями
• Cisco IOS функционал Archive

• Сервис ТFTP
• Настройка пакетного фильтра на Cisco router
• Операции с файловыми системами в IOS

• Настройка rcmd сервисов на Cisco router
• Установка клиента rsh
• Варианты использования rcmd сервисов в Cisco

rsh router show ip dhcp binding

• Сервис MRTG Использование скриптов
• prometheus-pushgateway
• Поиск посторонних DHCP серверов

• Оборудование уровня 2 Cisco Catalyst
• Настройка SSH на Cisco switch, (можно не включать сервис SCP)
• Может потребоваться Настройка ssh клиента для согласования алгоритмов шифрования
• Программирование диалогов expect (включаем scp)
• Аутентификация по публичному ключу (может не поддерживаться, в этом случае использовать Парольная аутентификация)
• SSH вместо RCP (SCP)
• Сервис Ansible Установка на управляющей системе, Настройка групп управляемых систем и Использование модулей

• Система контроля версий rcs
• Сервис Git для каталога /srv/tftp/

• Использование протокола CDP
• SSH вместо RSH

# cat cdp_save.sh

#!/bin/sh

/usr/bin/ansible sws -m ios_command -a "commands='show cdp nei'" -c local > /srv/tftp/switch.cdp.json

cd /srv/tftp/
/usr/bin/git add *
/usr/bin/git --no-optional-locks status | grep 'modified\|deleted\|new file' | /usr/bin/git commit -a -F -

# crontab -l

* * * * * /root/cdp_save.sh >/dev/null 2>&1

• Настройка snmp агента на switch с разрешением на запись
• Варианты использования протокола SNMP в режиме записи

1. Какой протокол и порт по умолчанию использует протокол TFTP?
2. Какой командой Cisco IOS можно посмотреть содержимое текстового файла, расположенного на TFTP сервере?
3. Когда нужно настраивать IP адрес на layer 2 коммутаторе?
4. На каком интерфейсе коммутаторов Cisco настраивается IP адрес?
5. На каком уровне сетевой модели работают протоколы CDP и LLDP?
6. Чем значение OID ifAdminStatus отличается от ifOperStatus?

• Syslog
• Ловим snmp трапы mac-notification с устройств Cisco

• Сервис Nagios Использование почтовых псевдонимов
• Сервис Grafana Настройка уведомлений
• prometheus-blackbox-exporter
• Grafana dashboard
• Видеоурок: Развертывание и настройка Prometheus и Grafana

• Сервис rsyslog Настройка на обработку сообщений типа local0 и Регистрация сообщений, переданных по сети
• Управление log сообщениями в оборудовании Cisco (router)
• Использование playbook Ansible для массовой настройки клиента syslog в cisco (switch)

Историческая ретроспектива - использование монолитного пакета ciscoconf в FreeBSD

• Резервное копирование конфигурации с использованием Пакет ciscoconf

Использование современных модульных решений

• Сервис Fail2ban Установка, Интеграция fail2ban и cisco log и Запуск и отладка (Видео урок)

• Настройка snmptrapd сервиса
• Настройка адреса перехватчика trap сообщений на cisco switch
• Настройка генерации trap-ов и storm-control на cisco switch
• Резервное копирование конфигурации с использованием с использованием snmptrap

• Видео урок: Elastic Stack для сетевого инженера (до 46:30)

• Использование plugin check_snmp
• Сервис Grafana Настройка уведомлений
• Использование RMON подсистемы протокола SNMP на cisco router

1. Какой протокол и порт по умолчанию использует протокол Syslog?
2. Для чего используется тип сообщений в протоколе Syslog?
3. Какой протокол и порт по умолчанию используется для SNMP trap?
4. Как работает протокол RMON?

• Протокол NetFlow

• Настройка экспорта статистики по протоколу NetFlow
• Пакет flow-tools
• Файловый сервер SAMBA Публичный каталог доступный на запись
• Excel
• Видео урок: Elastic Stack для сетевого инженера (с 46:30)

1. Какие задачи решают сенсоры, коллекторы и анализаторы в протоколе Netflow?
2. Пригоден ли протокол Netflow как источник данных для систем IDS/IPS?

• Архитектура моделей AAA оборудования Cisco
• Протокол RADIUS
• Протокол TACACS
• Протокол 802.1x
• Протокол SPAN

• Старая модель AAA можно показать на router
• Настройка SSH на switch
• Новая модель AAA на switch

switch(config)#no username root
switch(config)#no username user1

• Сервис FreeRADIUS
• Настройка клиента RADIUS на switch
• Использование RADIUS для аутентификации подключений на switch
• Использование RADIUS для авторизации подключений на switch

• Сервис TACACS
• Аутентификация и авторизация с использованием TACACS+

• Настройка протокола EAP для 802.1x на FreeRADIUS
• Использование RADIUS для протокола 802.1x на switch
• Настройка 802.1x на switch
• Настройка Windows (802.1X authentication)

• Настройка SPAN на Cisco Catalyst (может потребоваться остановить/запустить server в GNS)

switch#conf t
interface FastEthernet0/15
shut
no shut

interface FastEthernet0/2
no dot1x port-control auto

end


server# tcpdump -nni eth2 tcp

• Развертывание системы IDS (Сервис SNORT)
• Развертывание системы IPS (в Linux Интеграция fail2ban и snort)

1. Что обозначает аббревиатура AAA?
2. К чему в модели AAA относятся директивы username, password, login, exec, dot1x, privilege?
3. Кто является клиентом для RADIUS сервера?
4. Для чего используется общий секрет между RADIUS сервером и сервером доступа?
5. Какой протокол и порт по умолчанию использует RADIUS сервер для аутентификации?
6. Какой протокол и порт по умолчанию использует RADIUS сервер для учета?
7. Может ли сервер RADIUS использоваться для управления правами доступа администраторов в Cisco CLI?
8. Какой трафик в стандарте 802.1X разрешен для неавторизованного клиента?
9. Какой протокол и порт по умолчанию использует TACACS+ сервер?
10. В чем преимущества и недостатки протоколов RADIUS и TACACS+ ?
11. Можно ли использовать порт коммутатора Cisco одновременно и для SPAN и для передачи трафика адресованного подключенной к этому порту рабочей станции?
12. Пригодна ли технология Cisco SPAN как источник данных для систем IDS/IPS?
13. Почему системы IPS затруднительно использовать для блокировки передачи вирусных файлов по сети?

• Протокол 802.1q

• Использование протокола 802.1q

1. Что обозначает термин Native VLAN?
2. Как увеличивается размер фрейма в протоколе 802.1q?

• Протоколы маршрутизации
• Протокол маршрутизации OSPF
• Маршрутизация на основе политик

• Использование списков доступа для организации сервиса NAT (не обязательно)
• Использование протоколов маршрутизации !!! включение OSPF замедляет работу GNS !!!
• Использование двух ISP (Видео урок) (не обязательно)

1. Какие протоколы динамической маршрутизации Вам известны?
2. Чем характеризуется протокол OSPF?
3. Что обозначает термин PBR?