ѕодпишитесь на наш Telegram-канал Ѕудьте в курсе последних новостей 👇 😉 ѕодписатьс€
ѕоддержим в трудное врем€ —пециальное предложение на техническую поддержку вашей »“ - инфраструктуры силами наших экспертов ѕодобрать тариф
ѕоставка оборудовани€ √аранти€ и помощь с настройкой. —кидка дл€ наших читателей по промокоду WIKIMERIONET  упить
»нтерфейс статистики Merion Mertics показывает ключевые диаграммы и графики по звонкам, а также историю звонков в формате, который легко поймет менеджер ѕопробовать бесплатно
¬недрение
офисной телефонии
Ўаг на пути к созданию доступных унифицированных коммуникаций в вашей компании ¬недрить
»нтеграци€ с CRM ѕомогаем навести пор€док с данными
и хранить их в единой экосистеме
ѕодключить
»“ Ѕезопастность ”мна€ информационна€ безопасность дл€ вашего бизнеса «аказать
ћерион Ќетворкс

8 минут чтени€

¬ этой статье мы рассмотрим некоторые протоколы, такие как NTP, syslog и SNMP. ¬се они используютс€ дл€ мониторинга "работоспособности" вашей сети. ѕри правильной настройке они могут быть очень полезны...если они не работают, может быть действительно трудно вы€снить, когда в сети произошло определенное событие и что его вызвало. Syslog и SNMP используютс€ дл€ мониторинга сети, NTP используетс€ дл€ обеспечени€ того, чтобы наша регистрационна€ информаци€ имела правильное врем€ и дату.

ћы начнем с NTP - это не очень сложный протокол, но есть несколько вещей, которые могут пойти не так:

  • ‘ильтраци€ трафика NTP: списки доступа могут блокировать трафик NTP.
  • ѕроблемы аутентификации NTP: NTP поддерживает аутентификацию, клиент и сервер должны использовать одинаковые настройки.
  • —лишком большое временное смещение: если временное смещение между клиентом и сервером слишком велико, дл€ синхронизации потребуетс€ очень много времени.
  • Stratum level слишком высокий: Stratum level составл€ет от 1 (лучший) до 15 (худший). Stratum level 16 считаетс€ непригодным.
  • ‘ильтр источника NTP-сервера: NTP-серверы можно настроить так, чтобы разрешать только клиентам с определенных IP-адресов.

ƒавайте разберем эти вопросы. ћы будем использовать два маршрутизатора дл€ этого:


”рок 1

“опологи€

R1 будет нашим NTP-клиентом, а R2 будет NTP-сервером. ≈сть две полезные команды, с которых мы должны начать:

show ntp status show ntp associations

 оманды говор€т нам, что R1 имеет адрес 192.168.12.2, настроенный как сервер NTP, и в насто€щее врем€ он не синхронизирован. ƒавайте проверим, получает ли R1 пакеты NTP, это лучше всего сделать с помощью отладки:

debug ntp packets

Ёта отладка говорит нам, что R1 отправл€ет NTP-пакеты, но мы ничего не получаем от NTP-сервера. ”бедитесь, что NTP-сервер разрешен дл€ прохождени€:

show access-lists

R1 использует UDP-порт 123, убедитесь, что он не заблокирован:

R1(config)#interface FastEthernet 0/0
R1(config-if)#no ip access-group NO_TIME in

ѕосле удалени€ списка доступа, NTP сможет использовать пакеты NTP с сервера:

NTP сможет использовать пакеты NTP с сервера

¬от конечный результат:

show ntp status

„асы теперь синхронизированы. ƒруга€ проблема, которую вы можете обнаружить с помощью debugging NTP, - это несоответствие аутентификации:

R1(config)#ntp server 192.168.12.2 key 1
R1(config)#ntp authentication-key 1 md5 MY_KEY

ћы настроим R1 так, чтобы он принимал только NTP-пакеты от NTP-сервера, которые аутентифицированы с определенным ключом. —ервер NTP, однако, не использует никакой формы аутентификации. ћы можем найти эту ошибку с помощью следующей отладки:

debug ntp validity

Ёто расскажет нам о:

”бедитесь, что ваши настройки аутентификации NTP совпадают с обеих сторон

”бедитесь, что ваши настройки аутентификации NTP совпадают с обеих сторон.  огда разница во времени / дате между сервером NTP и клиентом велика, синхронизаци€ займет много времени. ѕр€мо сейчас часы выгл€д€т так:

show clock show clock

”становка часов на NTP-клиенте на что-то близкое к NTP-серверу значительно ускорит процесс синхронизации:

R1#clock set 18:00:00 30 January 2015

„ерез несколько минут часы на клиенте NTP должны быть синхронизированы.

≈ще одна проблема с NTP заключаетс€ в том, что stratum level ограничен, мы можем использовать значени€ от 1 (лучший) до 15 (худший). ≈сли у сервера NTP есть stratum level 15, то клиент NTP не сможет синхронизировать, так как 16 считаетс€ недостижимым.

ќтладка пакетов NTP на клиенте покажет это:

ќтладка пакетов NTP на клиенте

R1 никогда не сможет синхронизировать себ€, поскольку NTP-сервер объ€вл€ет себ€ как stratum -уровень 15. ¬ы можете исправить это, установив более низкое значение stratum - уровн€ NTP на своем NTP-сервере:

R2(config)#ntp master 2

ћы измен€ем его на значение 2 уровн€. Ёто позвол€ет R1 синхронизировать себ€:

show ntp status

» последнее, но не менее важное: NTP-серверы могут быть настроены так, чтобы разрешать NTP-клиентам только с определенных IP-адресов:

ntp access-group ?

Ќапример, мы настрою его, чтобы разрешить только IP-адрес 1.1.1.1:

R2(config)#ntp access-group serve 1
R2(config)#access-list 1 permit 1.1.1.1
R2(config)#ip route 1.1.1.1 255.255.255.255 192.168.12.1

¬ этом случае нам нужно убедитьс€, что NTP-клиент получает свои NTP-пакеты с правильного IP-адреса:

R1(config)#interface loopback 0
R1(config-if)#ip address 1.1.1.1 255.255.255.255
R1(config)#ntp source loopback0

 оманда NTP source скажет R1 использовать IP-адрес 1.1.1.1 из своего loopback интерфейса в качестве источника своих пакетов NTP.

Ёто самые распространенные ошибки NTP.


”рок 2

ƒавайте продолжим, посмотрев на syslog.

Ќаиболее распространенна€ проблема с системным журналом - это отсутствие информации о регистрации. ѕо умолчанию ведение журнала включено только дл€ консоли, а не дл€ внешних серверов системного журнала.

≈сть одна команда, которую вы можете использовать дл€ проверки ее конфигурации:

show logging

Ёто говорит нам, что системный журнал включен дл€ консоли вплоть до уровн€ отладки. ≈сли вы не видите всего на консоли, то кто-то, возможно, изменил уровень ведени€ журнала на более низкое значение. ¬от варианты:

logging console ?

”ровень отладки - самое высокое значение (7), поэтому он покажет все сообщени€ системного журнала. ≈сли вы не видите все сообщени€, убедитесь, что они установлены на уровне отладки дл€ консоли.

ѕо умолчанию информаци€ системного журнала не отправл€етс€ на внешний сервер. ¬ы должны это настроить самосто€тельно:

R1(config)#logging host 192.168.12.2

Ёто приведет к отправке регистрационной информации дл€ всех уровней серьезности на внешний сервер по адресу 192.168.12.2. ”бедитесь, что этот трафик не заблокирован, syslog использует UDP-порт 514.

ƒруга€ распространенна€ ошибка - сообщени€ системного журнала не отображаютс€ в сеансах telnet или SSH. ¬ы можете включить это с помощью команды terminal monitor.


”рок 3

—ледующий протокол, который мы обсудим, - это SNMP версии 2c и 3. ѕеред тем, как погрузитьс€ в конфигурацию SNMP, убедитесь, что ваш NMS (сервер сетевого управлени€) может св€затьс€ с вашим устройством (агент SNMP). SNMP использует UDP-порт 161 дл€ сообщений и UDP-порт 162 дл€ прерываний и информировани€. ”бедитесь, что этот трафик разрешен.

 огда дело доходит до SNMPv2c, есть несколько общих проблем:

  • Ќеправильна€ community-string: community-string похожа на пароль, который используетс€ дл€ того, чтобы NMS могла читать или записывать данные на сетевое устройство. ≈сли он не совпадает, SNMP не будет работать.
  • ќшибки списка доступа: списки доступа могут определ€ть, какой NMS разрешено использовать community-string. ”бедитесь, что вы используете правильный IP-адрес.
  • ѕеремешивание индексов: при добавлении новых интерфейсов к сетевому устройству номера интерфейсов могут больше не совпадать.
  • Ћовушки не отправлены: если вы хотите отправить SNMP-ловушки (или сообщени€), то вам нужно будет настроить это, это не делаетс€ автоматически.

¬от соответствующие команды SNMPv2c, которые вы должны проверить в случае, если SNMP не работает:

R1(config)#snmp-server community MY_COMMUNITY ro 1
R1(config)#access-list 1 permit host 192.168.1.1

¬ыше мы настроили сообщество под названием MY_COMMUNITY с доступом только дл€ чтени€. ћы используем access-list 1, чтобы определить, какому устройству разрешено использовать это сообщество. ”бедитесь, что в списке доступа указаны правильные операторы разрешений. —ледующа€ команда гарантирует, что индекс интерфейса остаетс€ прежним:

R1(config)#snmp-server ifindex persist

» если вы хотите отправл€ть SNMP-ловушки, настройте его следующим образом:

R1(config)#snmp-server enable traps eigrp
R1(config)#snmp-server host 192.168.1.1 traps version 2c MY_COMMUNITY

Ёто активирует ловушки SNMP дл€ EIGRP и будет отправлено в NMS на IP-адрес 192.168.1.1 с использованием сообщества "MY_COMMUNITY". ≈сли вы не укажете, какие ловушки вы хотите, он включит все ловушки.

SNMPv3 сильно отличаетс€ от версии 2, в безопасность и аутентификацию внесено много изменений. ѕри поиске и устранении неисправностей SNMPv3 необходимо учитывать несколько моментов, св€занных с SNMPv3:

  • ¬ложенность: с помощью SNMPv3 мы создаем пользователей, которые вложены в группы. √руппы вложены в представлени€, которые предоставл€ют доступ к определенным MIBs на сетевом устройстве. ”бедитесь, что ваш пользователь находитс€ в правильной группе и что представление имеет правильные разрешени€ на просмотр.
  • ”ровень безопасности: SNMPv3 поддерживает разные уровни безопасности, они должны совпадать на сетевом устройстве и NMS:
    • noAuthNoPriv
    • authNoPriv
    • authPriv
  • ѕараметры безопасности: SNMPv3 предлагает несколько алгоритмов хешировани€ и шифровани€. ”бедитесь, что вы настроили одинаковые алгоритмы на сетевом устройстве и NMS.
  •  онфигураци€ представлений: в представлении мы настраиваем объекты, к которым NMS разрешен доступ, убедитесь, что вы настроили правильные объекты.

Ќиже приеден пример конфигурации того, что мы обсуждали:

Router(config)#snmp-server user MY_USER MY_GROUP v3 auth md5 MY_PASSWORD
priv aes 128 MY_PASSWORD

—начала мы настраиваем пользовател€ с именем MY_USER, который принадлежит группе с именем MY_GROUP. ћы используем версию 3 SNMP. ƒл€ аутентификации этого пользовател€ мы используем MD5 и пароль "MY_PASSWORD". ƒл€ шифровани€ мы используем 128-битный AES и тот же пароль. ”бедитесь, что на сетевом устройстве и NMS все одинаково ...

“еперь мы настраиваем группу:

Router(config)#snmp-server group MY_GROUP v3 priv read MY_VIEW access 1
Router(config)#access-list 1 permit host 192.168.1.1

√руппа называетс€ MY_GROUP, и мы используем уровень безопасности authPriv. ћы также присоедин€ем группу к представлению под названием MY_VIEW. ћы также используем список доступа, только NMS, использующа€ IP-адрес 192.168.1.1, может использовать эту группу. ƒавайте настроим view:

Router(config)#snmp-server view MY_VIEW system included
Router(config)#snmp-server view MY_VIEW cisco included

Ёто представление позвол€ет NMS получать доступ только к объектам в системной группе MIB-II и ко всем объектам в корпоративной MIB Cisco. ”бедитесь, что вы добавили все объекты, к которым вам нужен доступ.

»нформаци€ о пользователе не отображаетс€ в конфигурации, если вы хотите увидеть пользователей, вам нужно использовать другую команду:

show snmp user

Ёта команда показывает нам нашу учетную запись пользовател€, ее алгоритмы аутентификации и шифровани€ и сообщает, к какой группе она принадлежит.