Мониторинг

Настройка Netflow

Netflow — сетевой протокол, предназначенный для учета и анализа трафика. Netflow позволяет передавать данные о трафике (адрес отправителя и получателя, порт, количество информации и др.) с сетевого оборудования (сенсора) на коллектор. В качестве коллектора может использоваться обычный сервер.

Алгоритм настройки

Пример настройки

Задача:

Организовать учет трафика с интерфейса gi1/0/1 для передачи на сервер через интерфейс gi1/0/8 для обработки.

Решение:

Предварительно необходимо выполнить следующие действия:

• На интерфейсах gi1/0/1, gi1/0/8 отключить firewall командой «ip firewall disable».
• Назначить IP-адреса на портах.

Основной этап конфигурирования:

Укажем IP-адрес коллектора:

esr(config)# netflow collector 10.10.0.2

Включим сбор экспорта статистики netflow на сетевом интерфейсе gi1/0/1:

esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# ip netflow export

Активируем netflow на маршрутизаторе:

еsr(config)# netflow enable

Для просмотра статистики Netflow используется команда:

esr# show netflow statistics

Настройка Netflow для учета трафика между зонами аналогична настройке sFlow, описание приведено в разделе Настройка sFlow.

Настройка sFlow

Sflow — стандарт для мониторинга компьютерных сетей, беспроводных сетей и сетевых устройств, предназначенный для учета и анализа трафика.

Алгоритм настройки

Пример настройки

Задача:

Организовать учет трафика между зонами trusted и untrusted.

Решение:

Для сетей ESR создадим две зоны безопасности:

esr# configure
esr(config)# security zone TRUSTED
esr(config-zone)# exit
esr(config)# security zone UNTRUSTED
esr(config-zone)# exit

Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности:

esr(config)# interface gi1/0/1
esr(config-if-gi)# security-zone UNTRUSTED
esr(config-if-gi)# ip address 10.10.0.1/24
esr(config-if-gi)# exit
esr(config)# interface gi1/0/2-3
esr(config-if-gi)# security-zone TRUSTED 
esr(config-if-gi)# exit
esr(config)# interface gi1/0/2
esr(config-if-gi)# ip address 192.168.1.5/24
esr(config-if-gi)# exit 
esr(config)# interface gi1/0/3 
esr(config-if-gi)# ip address 192.168.3.5/24
esr(config-if-gi)# exit 

Укажем IP-адрес коллектора:

esr(config)# sflow collector 192.168.1.8

Включим экспорт статистики по протоколу sFlow для любого трафика в правиле «rule1» для направления TRUSTED-UNTRUSTED:

esr(config)# security zone-pair TRUSTED UNTRUSTED
esr(config-zone-pair)# rule 1
esr(config-zone-pair-rule)# action sflow-sample
esr(config-zone-pair-rule)# match protocol any
esr(config-zone-pair-rule)# match source-address any
esr(config-zone-pair-rule)# match destination-address any
esr(config-zone-pair-rule)# enable

Активируем sFlow на маршрутизаторе:

еsr(config)# sflow enable

Настройка sFlow для учета трафика с интерфейса осуществляется аналогично Настройка Netflow.

Настройка SNMP

SNMP (англ. Simple Network Management Protocol — простой протокол сетевого управления) — протокол, предназначенный для управления устройствами в IP-сетях на основе архитектур TCP/UDP. SNMP предоставляет данные для управления в виде переменных, описывающих конфигурацию управляемой системы.

Алгоритм настройки

Пример настройки

Задача:

Настроить SNMPv3-сервер с аутентификацией и шифрованием данных для пользователя admin. IP-адрес маршрутизатора esr – 192.168.52.8, IP-адрес сервера – 192.168.52.41.

Решение:

Предварительно нужно выполнить следующие действия:

• указать зону для интерфейса gi1/0/1;
• настроить IP-адрес для интерфейсов gi1/0/1.

Основной этап конфигурирования:

Включаем SNMP-сервер:

esr(config)# snmp-server

Создаем пользователя SNMPv3:

esr(config)# snmp-server user admin

Определим режим безопасности:

esr(snmp-user)# authentication access priv

Определим алгоритм аутентификации для SNMPv3-запросов:

esr(snmp-user)# authentication algorithm md5

Установим пароль для аутентификации SNMPv3-запросов:

esr(snmp-user)# authentication key ascii-text 123456789 

Определим алгоритм шифрования передаваемых данных:

esr(snmp-user)# privacy algorithm aes128

Установим пароль для шифрования передаваемых данных:

esr(snmp-user)# privacy key ascii-text 123456789

Активируем SNMPv3-пользователя:

esr(snmp-user)# enable

Определяем сервер-приемник Trap-PDU-сообщений:

esr(config)# snmp-server host 192.168.52.41

Настройка Zabbix-agent/proxy

Zabbix-agent — агент, предназначенный для мониторинга устройства, а также выполнения удаленных команд с Zabbix-cервера. Агент может работать в двух режимах: пассивный и активный. Для работы в пассивном режиме, по умолчанию, необходимо разрешающее правило в firewall — протокол tcp, порт 10050. Для активного режима – протокол tcp, порт 10051.

Zabbix-прокси — это процесс, способный собирать данные мониторинга с одного или нескольких наблюдаемых устройств и отправлять эту информацию Zabbix-серверу.

Алгоритм настройки

Пример настройки zabbix-agent

Задача:

Настроить взаимодействие между агентом и сервером для выполнения удаленных команд с сервера.

Решение:

В контексте настройки агента укажем адрес Zabbix-cервера, и адрес с которого будет осуществляться взаимодействие с сервером:

esr(config-zabbix)# server 192.168.32.101
esr(config-zabbix)# source-address 192.168.39.170

Для активации активного режима  укажем hostname, active-server, а также включим выполнение удаленных команд.

esr(config-zabbix)# hostname ESR-agent
esr(config-zabbix)# active-server 192.168.32.101
esr(config-zabbix)# remote-commands

Зададим время выполнения удаленных команд, и активируем функционал агента.

esr(config-zabbix)# timeout 30
esr(config-zabbix)# enable 

Пример настройки zabbix-server

Создадим узел сети:

Создадим скрипт (Администрирование -> Скрипты-> Создать скрипт)

Маршрутизаторы ESR поддерживают выполнение следующих привилегированных команд:

• Ping:
  

  zabbix_get -s {HOST.CONN}  -p 10050 -k "system.run[ sudo ping -c 3 192.168.32.101]"

  CODE

  Клиент (ESR), получивший данную команду от сервера, выполнит ping до заданного узла (в нашем примере до 192.168.32.101), и вернет результат серверу.

Использование ключа "-c" с указанием количества пакетов в тесте - обязательно . Без данного ключа команда ping не остановится самостоятельно и тест не будет считаться завершенным.

• Ping в VRF:
  

  zabbix_get -s {HOST.CONN} -p 10050 -k "system.run[sudo  netns -exec -n backup sudo ping 192.168.32.101 -c 5 -W 2 ]"

  CODE

  Вышеупомянутая команда будет выполнена в заданном VRF с именем backup.

• Fping
  

  zabbix_get -s {HOST.CONN} -p 10050 -k "system.run[ sudo fping 192.168.32.101]"

  CODE

  Клиент (ESR), получивший данную команду от сервера, выполнит fping до заданного узла (в нашем примере до 192.168.32.101), и вернет результат серверу.

• Fping в VRF
  

  zabbix_get -s {HOST.CONN} -p 10050 -k "system.run[sudo  netns-exec -n backup sudo fping 192.168.32.101 ]"

  CODE

• Traceroute
  

  zabbix_get -s {HOST.CONN} -p 10050 -k "system.run[ sudo traceroute 192.168.32.101]

  CODE

  Клиент (ESR), получивший данную команду от сервера, выполнит traceroute до заданного узла (в нашем примере до 192.168.32.101), и вернет результат серверу.

  
  

• Traceroute в VRF
  

  zabbix_get -s {HOST.CONN} -p 10050 -k "system.run[ sudo  netns-exec -n backup sudo traceroute 192.168.32.179]"

  CODE

• Iperf
  

  zabbix_get -s {HOST.CONN} -p 10050 -k "system.run[ sudo iperf -c 192.168.32.101 -u -b 100K -i 1 -t 600]"

  CODE

  Клиент (ESR), получивший данную команду от сервера, выполнит iperf до заданного сервера (в нашем примере до 192.168.32.101), и вернет результат серверу.

• Iperf в VRF
  

  zabbix_get -s {HOST.CONN} -p 10050 -k "system.run[ sudo  netns-exec -n backup  sudo iperf -c 192.168.32.101 -u -b 100K -i 1 -t 600]"

  CODE

  
  

• Nslookup
  

  zabbix_get -s  {HOST.CONN} -p 10050 -k "system.run[sudo  nslookup ya.ru ]"

  CODE

  Клиент (ESR), получивший данную команду от сервера, выполнит nslookup , и вернет результат серверу.

  
  

• Nslookup в VRF

  zabbix_get -s  {HOST.CONN} -p 10050 -k "system.run[sudo  netns-exec  sudo   nslookup ya.ru ]"

  CODE

  Пример выполнения команды Iperf:

  

Кроме того, возможно выполнение команд не требующих привилегий , таких как : snmpget,  cat,  pwd, wget и другие.

Пример выполнения команды snmpget:

Настройка Syslog

Syslog (англ. System Log — системный журнал) — стандарт отправки и регистрации сообщений о происходящих в системе событиях, используется в сетях, работающих по протоколу IP.

Алгоритм настройки

Пример настройки

Задача:

Настроить отправку сообщений для следующих системных событий:

• неудачная аутентификация пользователя;
• внесены изменения в конфигурацию логирования системных событий;
• старт/остановка системного процесса;
• внесены изменения в профиль пользователей.

IP-адрес маршрутизатора ESR – 192.168.52.8, ip-адрес Syslog сервера – 192.168.52.41. Использовать параметры по умолчанию для отправки сообщений – протокол UDP порт 514.

Решение:

Предварительно нужно выполнить следующие действия:

• указать зону для интерфейса gi1/0/1;
• настроить IP-адрес для интерфейсов gi1/0/1.

Основной этап конфигурирования:

Создаем файл на маршрутизаторе для системного журнала, уровень сообщений для журналирования – info:

esr(config)# syslog file ESR info

Указываем IP адрес и параметры удаленного Syslog-сервера:

esr(config)# syslog host SERVER 192.168.17.30 info udp 514

Задаем логирование неудачных попыток аутентификации:

esr(config)# logging login on-failure

Задаем логирование изменений конфигурации syslog:

esr(config)# logging syslog configuration

Задаем логирование старта/остановки системных процессов:

esr(config)# logging service start-stop

Задаем логирование внесений изменений в профиль пользователей:

esr(config)# logging userinfo

Изменения конфигурации вступят в действие после применения:

esr# commit
Configuration has been successfully committed
esr# confirm
Configuration has been successfully confirmed

Посмотреть текущую конфигурацию системного журнала:

esr# show syslog configuration

Посмотреть записи системного журнала:

esr# show syslog ESR

Проверка целостности

Проверка целостности подразумевает проверку целостности хранимых исполняемых файлов.

Процесс настройки

Пример конфигурации

Задача:

Проверить целостность файловой системы:

Решение:

Запускаем проверку целостности:

esr# verify filesystem
Filesystem Successfully Verified

Настройка архивации конфигурации маршрутизатора

На маршрутизаторах ESR предусмотрена функция локального и/или удаленного копирования конфигурации по таймеру или при применении конфигурации.

Процесс настройки

Пример конфигурации

Задача:

Настроить локальное и удаленное резервное копирование конфигурации маршрутизатора 1 раз в сутки и при успешном изменении конфигурации. Удаленные копии необходимо отправлять на tftp-сервер 172.16.252.77 в подпапку esr-example. Максимальное количество локальных копий – 30.

Решение:

Для успешной работы удаленной архивации конфигураций, между маршрутизатором и сервером должна быть организована IP-связность, настроены разрешения на прохождение tftp-трафика по сети и сохранения файлов на сервере.

Основной этап конфигурирования:

Перейти в режим конфигурирования резервного копирования конфигураций:

esr# configure
esr(config)# archive

Задать режим локального и удаленного резервного копирования конфигурации:

esr(config)# type both

Настроить путь для удаленного копирования конфигураций и максимальное количество локальных резервных копий:

esr(config-archive)# path tftp://172.16.252.77:/esr-example/esr-example.cfg
esr(config-archive)# count-backup 30

Задать интервал резервного копирования конфигурации в случае отсутствия изменений:

esr(config-archive)# time-period 1440

Включить режимы архивации конфигурации маршрутизатора по таймеру и при успешном изменении конфигурации:

esr(config-archive)# auto
esr(config-archive)# by-commit

После применения данной конфигурации 1 раз в сутки и при каждом успешном изменении конфигурации маршрутизатора на tftp-сервер будет отправляться конфигурационный файл с именем вида "esr-exampleYYYYMMDD_HHMMSS.cfg". Также, на самом маршрутизаторе в разделе flash:backup/ будет создаваться файл с именем вида "config_YYYYMMDD_HHMMSS". Когда в разделе flash:backup/ накопится 30 таких файлов, при создании нового будет удаляться наиболее старый.