Настройка времени
ntp server server
clock timezone MSK 3
service timestamps log datetime localtime year
Отключение http сервера
no ip http server
Ограничение доступа к vty
no access-list 1
! access-list 1 permit host 192.168.X.101
access-list 1 permit host 192.168.X.10
access-list 1 deny any
line vty 0 15
! no login ! for no password access
! privilege level 15
access-class 1 in
end
Включение сервиса
Вариант 1
ip domain-name corpX.un
crypto key generate rsa general-keys modulus 1024
ip ssh version 2
username root privilege 15 secret cisco
line vty 0 15
login local
transport input ssh
Вариант 2
crypto key generate rsa label MY_KEYS modulus 1024
ip ssh rsa keypair-name MY_KEYS
Включение scp
ip scp server enable
Аутентификация по публичному ключу
root@helper:~# cat .ssh/id_rsa.pub
...
Разбить вывод на несколько строк
ip ssh pubkey-chain
username rancid
key-string
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9KLTWwi8BTLMW6r79wgrfXrUOwai/smc
...
36w0k+JeK/WqJr5X80yX7fLbP root@helper
exit
exit
exit
Настройка rcmd сервисов
Включение сервисов
ip rcmd rcp-enable
ip rcmd rsh-enable
Настройка прав доступа
! recomend for security and DNS troubles
ip host server 192.168.X.10
ip rcmd remote-host root server root enable
Управление log сообщениями
Вывод логов на экран telnet сессии
router# show logging
router# terminal monitor
Вывод логов на экран console сессии
router(config)# logging console
Отправка логов на syslog сервер
-
для одного host может быть только один port
cisco(config)#logging facility local0
cisco(config)#logging host server ! transport udp port 8514
Настройка snmp агента
Разрешение на чтение
router(config)# snmp-server community public RO
Разрешение на запись
switch(config)# snmp-server community write RW
Настройка адреса перехватчика trap сообщений
switch(config)# snmp-server host server writetrap
Настройка генерации trap-ов
switch(config)# snmp-server enable traps snmp linkdown linkup
switch(config)# snmp-server enable traps config
switch(config)# snmp-server enable traps config-copy
SNMPv3
Использование RMON подсистемы протокола SNMP
Мониторинг изменения загрузки интерфейса router FastEthernet1/1
Настройка router:
snmp-server host server writetrap
rmon event 1001 log trap writetrap description "Critical input bandwith WAN int"
rmon event 1002 log trap writetrap description "Ok input bandwith WAN int"
rmon alarm 2002 ifEntry.10.1 8 delta rising-threshold 900000 1001 falling-threshold 300000 1002
!rmon alarm 2002 1.3.6.1.2.1.2.2.1.16.5 8 delta rising-threshold 900000 1001 falling-threshold 300000 1002
router#show rmon alarms
Комментарии:
-
event — кому посылать (в trap с комьюнити writetrap) и описание события
-
alarm — причины возникновения trap и привязка к event
-
Номер alarm (2002) присутствует в OID trap
-
1.3.6.1.2.1.2.2.1.10/16.2 превратится в ifEntry.10/16.2 — (тоже что и if(In/Out)Octets.2 но router такую запись OID не понимает)
-
8 — период расчета в секундах (удобно, получаем вместо октет/секунду — бит/секунду)
-
delta — считать относительно предыдущего параметра
-
rising-threshold 900000 1001 — при превышении разницы значений счетчика на 900000 (немного меньше 1Мбита) генерировать event 1001
-
falling-threshold 300000 1002 — при уменьшении разницы значений счетчика на 300000 генерировать event 1002
Тестирование:
gate.isp.un$ iperf -c 192.168.X.10 -u -t 600 -b 1M
server# tcpdump -i eth1 -s0 -A -n port 162
Мониторинг загрузки процессора
rmon event 4 log trap public description "Cpu hight load"
rmon alarm 8 1.3.6.1.4.1.9.2.1.56.0 10 absolute rising-threshold 80 4 falling-threshold 6 20