Professional Documents
Culture Documents
–--------------------------------------------
1. Logging/Syslog
–--------------------------------------------
Generalitati
–-----------------------
Exemple:
− facility code: auth, authpriv, daemon, cron, ftp, lpr, kern, mail, news, syslog, user, uucp,
local0 ... local7
◦ *routerele/switch-urile Cisco genereaza syslog cu facility code – local7
◦ *Cisco ASA (Firewall) genereaza syslog cu facility code – local4
− severity level/code:
© 2014 - Informatiile continute in acest document reprezinta proprietatea intelectuala a Academiei Crystal Mind.
© 2014 - Crystal Mind Academy - CCNA4 – Connecting Networks
– Linii viruale - liniile virtuale (telnet/SSH) pot fi configurate sa primeasca loguri insa ca si
cele trimite catre consola nu sunt stocate de echipament;
– Buffered logging – logurile sunt stocate in bufferul echipamentului (RAM) pentru o anumita
perioada de timp limitata, si se sterg fara ca routerul sa fie restartat;
– SNMP traps – in momentul in care este depasit un anumit threshold, routerul trimite SNMP
traps catre un server SNMP;
– Syslog – echipamentele Cisco pot fi configurate sa trimita logurile catre un server extern de
Syslog (Cisco MARS/Splunk/KIWI Syslog, tftpd32, WinSyslog, syslogd, etc)
Configuratie
–-----------------------
//setari optionale
(config)#service timestamps debug datetime msec //setare implicita pe IOS-urile noi
(config)#service timestamps log datetime msec [localtime | show-timezone]
(config)#service sequence-numbers //numerotare/ordonare loguri
(config)#logging source INTERFATA //specificare IP sursa pentru mesaje
Daca nu se foloseste argumentul localtime, logurile vor avea timestamp timpul UTC, nu cel
modificat in functie de fusul orar (timezone), chiar daca la show clock echipamentul va afisa ora
locala!
© 2014 - Informatiile continute in acest document reprezinta proprietatea intelectuala a Academiei Crystal Mind.
© 2014 - Crystal Mind Academy - CCNA4 – Connecting Networks
//verificare loguri
#show logging
//setari optionale
(config)#logging userinfo //logheaza userul logat pe router(+comanda)!
//resurse logging
–--------------------------------------------
2. SNMP
–--------------------------------------------
Generalitati
–-----------------------
SNMP este un protocol Layer7 prin intermediul caruia administratorul de retea urmareste
performanta retelei, descopera si rezolva eventualele probleme aparute.
Componente:
- SNMP Server platform/Manager (Network Management System)
- SNMP Agents
- MIB (Management Information Base)
© 2014 - Informatiile continute in acest document reprezinta proprietatea intelectuala a Academiei Crystal Mind.
© 2014 - Crystal Mind Academy - CCNA4 – Connecting Networks
Mod de functionare:
–-----------------------
NMS-ul primeste informatii de la echipamente prin intermediul agentilor SNMP care la randul lor
faciliteaza accesul la MIBs pentru utilizatorii autentificati.
MIB este o structura de date care contine toate obiectele care pot fi monitorizate/configurate prin
SNMP. Obiectele dintr-un MIB sunt identificate printr-un string de numere separate prin punct, numit
OID. (Object Identifier)
NMS comunica prin SNMP cu echipamentele prin intermediul mesajelor GET, SET sau TRAP.
GET se refera la interogarea unui anumit obiect din MIB (OID) identificat unic pe echipament si
parsarea continutului. Cu alte cuvinte, mesajele tip GET se refera la un acces strict read-only. (RO)
SET sunt folosite de NMS pentru a modifica valorile OID-urilor, astfel incat sa poata fi modificate
setarile echipamentului. Din acest punct de vedere SET echivaleaza cu un acces read-write (RW) pe
echipament.
TRAP reprezinta un mesaj nesolicitat trimis de echipament catre NMS in cazul declansarii unui
eveniment (linkdown/linkup/high CPU, low memory, etc).
Mesajele SET sau GET trimise de NMS sunt acceptate de echipamente pe baza unor “community
strings” care functioneaza ca si parole de acces si care (pentru SNMP v1 si SNMP v2) sunt transmise
in clar!
Pentru ca NMS poate trimite ori SET, ori GET, se obisnuieste ca pe echipamente sa se configureze
doua tipuri de community strings:
– read-only (RO), prin care se acceseaza obiectele MIBs read-only (comanda GET)
– red-write (RW), prin care echipamentul poate fi configurat (comenzile GET si SET)
De regula, echipamentele sunt configurate cu un community string care sa nu fie cunoscut, strict
read-only, astfel incat oricine are acces la retea sa nu poata schimba configuratia echipamentului
(set = read-write).
Solutii:
- atasare ACL configuratiei de SNMP pentru limitarea accesului la echipament via SNMP
- configurare SNMPv3
Cisco suporta toate cele 3 versiuni de SNMP insa atunci cand se activeaza ca protocol, trebuie avut
in vedere modelul de securitate:
– noAuthNoPriv – autentificarea mesajelor se face pe baza trimiterii unui username;
– AuthNoPriv – autentificarea se face pe baza unui HMAC (MD5 sau SHA1) username +
pass;
– authPriv - autentificarea se face prin HMAC (user+pass) insa continutul mesajului este
criptat prin DES, 3DES sau AESs;
© 2014 - Informatiile continute in acest document reprezinta proprietatea intelectuala a Academiei Crystal Mind.
© 2014 - Crystal Mind Academy - CCNA4 – Connecting Networks
Configuratie
–-----------------------
De asemenea, in cazul in care o comunitate trebuie sa ofere acces limitat la MIB, se recomanda
crearea unui SNMP View (vezi referinte)
//alte comenzi
(config)#snmp-server contact Popescu Ion //persoana de contact pt device
(config)#snmp-server location CMA //locatie device
(config)#snmp-server chassis-id 1841_Baneasa //ID unic pentru diferentiere echipament
SNMP GET si SET sunt trimise catre UDP port 161 iar SNMP Traps catre UDP port 162!
Comunitatea de SNMP traps poate fi folosita de NMS pentru filtrarea mesajelor de la echipamente
diferite. Implicit, SNMP Traps community nu conditioneaza acceptarea mesajului de catre NMS.
//referinte
//securing SNMP
http://www.cisco.com/en/US/tech/tk648/tk362/technologies_tech_note09186a0080094489.shtml
//SNMP v3
http://www.cisco.com/en/US/docs/ios/12_0t/12_0t3/feature/guide/Snmp3.html
//SNMPv3 configurations
http://docwiki-rcdn-prd.cisco.com/wiki/Snmp_v3_configurations
© 2014 - Informatiile continute in acest document reprezinta proprietatea intelectuala a Academiei Crystal Mind.
© 2014 - Crystal Mind Academy - CCNA4 – Connecting Networks
–--------------------------------------------
3. Network Time Protocol
–--------------------------------------------
Generalitati
–-----------------------
Moduri NTP
– client – echipament care isi sincronizeaza timpul de la unul sau mai multe servere NTP, care
pot fi prioritizate; clientul nu reprezinta o sursa de sincronizare;
– peer – With NTP peers, one NTP-enabled device does not have authority over the other. With
the peering model, each device shares its time information with the other, and each device
can also provide time synchronization to the other.
Configuratie
–-----------------------
//R1 - server
R1#clock set 00:00:00 1 Jan 2000
!!cu cat ora/data sunt mai apropiate, cu atat sincronizarea e mai rapida!
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#ntp master 1
R1(config)#ntp authentication-key 1 md5 CISCO
//R2 - client
R2#clock set 00:00:00 1 Jan 2000
!!cu cat ora/data sunt mai apropiate, cu atat sincronizarea e mai rapida!
R2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#ntp authenticate
R2(config)#ntp authentication-key 1 md5 CISCO
R2(config)#ntp trusted-key 1
R2(config)#ntp server 12.0.0.1 key 1
In configurarea unui server NTP se specifica si un “stratum” , intelegand nr-ul de hopuri pana la
serverul NTP cu stratum 1 care este direct atasat unui ceas atomic. Un server cu stratum mai mic va
fi preferat unui sever cu stratum mai mare.
© 2014 - Informatiile continute in acest document reprezinta proprietatea intelectuala a Academiei Crystal Mind.
© 2014 - Crystal Mind Academy - CCNA4 – Connecting Networks
NTP servers don’t care about the authenticity of their clients, as they never accept any
information from them.
//setare fus orar astfel incat ora primita prin NTP sa reflecte ora locala
(config)#clock timezone RO 2
//resurse NTP
//NTP Commands
http://www.cisco.com/en/US/docs/ios/12_2/configfun/command/reference/frf012.html#wp112295
5
//secure NTP
http://stack.nil.com/ipcorner/SecTimeManagement/
//NTP - BeOnTime
http://stack.nil.com/ipcorner/BeOnTime/
© 2014 - Informatiile continute in acest document reprezinta proprietatea intelectuala a Academiei Crystal Mind.