История страницы

...

ESR-1(config)# snmp-server enable traps config
ESR-1(config)# snmp-server enable traps config commit
ESR-1(config)# snmp-server enable traps config confirm

Настройка

...

Netflow

Syslog — стандарт отправки и регистрации сообщений о происходящих в системе событиях, используется в сетях, работающих по протоколу IPNetflow — сетевой протокол, предназначенный для учета и анализа трафика. Netflow позволяет передавать данные о трафике (адрес отправителя и получателя, порт, количество информации и др.) с сетевого оборудования (сенсора) на коллектор. В качестве коллектора может использоваться обычный сервер.

В текущей схеме Syslog Netflow настраивается для удаленного получения информации о событиях контроля объема трафика в сети.

Организуйте учет трафика на интерфейсах Gi1/0/2 и Gi2/0/2.

Укажите IP-адрес коллектораНастройте локальную ротацию логов уровня info, а также отправку логов уровня info на удаленный syslog-server. В качестве source-address используйте созданную object-group для MGMT:

ESR-1(config)# syslognetflow max-files 3collector 192.18.2.75
ESR-1(config)# syslog file-size 512
ESR-1(config)# syslog file tmpsys:syslog/default
ESR-1(config-syslog-file)# severity info
ESR-1(config-syslog-file)# exit
ESR-1(config)# syslog host MGMT
ESR-1(config-syslog-host)# remote-address 192.18.2.75
ESR-1(config-syslog-host)# severity info
ESR-1(config-syslog-host)# source-address object-group MGMT_SRC
ESR-1(config-syslog-host)# exit

Настройка Netflow

Netflow — сетевой протокол, предназначенный для учета и анализа трафика. Netflow позволяет передавать данные о трафике (адрес отправителя и получателя, порт, количество информации и др.) с сетевого оборудования (сенсора) на коллектор. В качестве коллектора может использоваться обычный сервер.

В текущей схеме Netflow настраивается для контроля объема трафика в сети.

Организуйте учет трафика на интерфейсах Gi1/0/2 и Gi2/0/2.

Укажите IP-адрес коллектора:

ESR-1(config)# netflow collector 192.18.2.75
ESR-1(config-netflow-host)# exit

Включите сбор экспорта статистики Netflow на сетевых интерфейсах Gi1/0/2 и Gi2/0/2:

ESR-1(config)# interface gigabitethernet 1/0/2
ESR-1(config-if-gi)# ip netflow export 
ESR-1(config-if-gi)# exit  
ESR-1(config)# interface gigabitethernet 2/0/2
ESR-1(config-if-gi)# ip netflow export 
ESR-1(config-if-gi)# exit   

Активируйте Netflow на маршрутизаторе:

ESR-1(config)# netflow enable

Для просмотра статистики Netflow используется команда:

ESR-1# show netflow statistics

Настройка Archive

На маршрутизаторах ESR предусмотрена функция локального и/или удаленного копирования конфигурации по таймеру или при применении конфигурации.

В примере ниже рассмотрена настройка локального и удаленного резервного копирования конфигурации маршрутизатора 1 раз в сутки и при успешном изменении конфигурации. Удаленные копии отправляются на TFTP-сервер 192.18.2.75 в подпапку esr-example. Максимальное количество локальных копий — 30.

Перейдите в режим настройки резервного копирования конфигураций:

ESR-1(config)# archive  

Задайте режим локального и удаленного резервного копирования конфигурации:

ESR-1(config-archive)# type both

Настройте путь для удаленного копирования конфигураций и максимальное количество локальных резервных копий:

ESR-1(config-archive)# path tftp://192.18.2.75:/esr-example/esr-example.cfg
ESR-1(config-archive)# count-backup 30

Задайте интервал резервного копирования конфигурации в случае отсутствия изменений:

ESR-1(config-archive)# time-period 1440

Включите режимы архивации конфигурации маршрутизатора по таймеру и при успешном изменении конфигурации:

ESR-1(config-archive)# auto 
ESR-1(config-archive)# by-commit 
ESR-1(config-archive)# exit

После применения данной конфигурации 1 раз в сутки и при каждом успешном изменении конфигурации маршрутизатора на TFTP-сервер будет отправляться конфигурационный файл с именем вида "esr-exampleYYYYMMDD_HHMMSS.cfg". Также на самом маршрутизаторе в разделе flash:backup/ будет создаваться файл с именем вида "config_YYYYMMDD_HHMMSS". Когда в разделе flash:backup/ накопится 30 таких файлов, при создании нового будет удаляться наиболее старый. 

Настройка DNS

DNS — это распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста, получения информации о маршрутизации почты и/или обслуживающих узлах для протоколов в домене.

Создайте статическую DNS-запись.

Включите разрешение DNS-имен:

ESR-1(config)# domain lookup enable

Назначьте имя домена для маршрутизатора.

Определите IP-адрес DNS-сервера, используемого для разрешения DNS-имен:

ESR-1(config)# domain name-server 192.18.2.75

Откройте DNS-порт:

ESR-1(config)# object-group service DNS_SERVER
ESR-1(config-object-group-service)# port-range 53
ESR-1(config-object-group-service)# exit

-netflow-host)# exit

Включите сбор экспорта статистики Netflow на сетевых интерфейсах Gi1/0/2 и Gi2/0/2Добавьте разрешающее правило для работы DNS:

ESR-1(config)# securityinterface zone-pair TRUSTED self gigabitethernet 1/0/2
ESR-1(config-securityif-zone-pairgi)# ip rulenetflow export 4
ESR-1(config-security-zone-pair-ruleif-gi)# actionexit permit 
ESR-1(config-security-zone-pair-rule)# matchinterface protocol udp gigabitethernet 2/0/2
ESR-1(config-security-zone-pair-ruleif-gi)# matchip destination-port object-group DNS_SERVERnetflow export 
ESR-1(config-security-zone-pair-ruleif-gi)# exit enable 
  

Активируйте Netflow на маршрутизаторе:

ESR-1(config-security-zone-pair-rule)# exit
netflow enable

Для просмотра статистики Netflow используется команда:

ESR-1# show netflow statistics(config-security-zone-pair)# exit

Настройка Source NAT

Функция Source NAT (SNAT) используется для подмены адреса источника у пакетов, проходящих через сетевой шлюз. При прохождении пакетов из локальной сети в публичную сеть адрес источника заменяется на один из публичных адресов шлюза. Дополнительно к адресу источника может применяться замена порта источника. При прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта.

...