Для того чтобы добавить маршрутизатор ESR в ECCM, нужно выполнить следующие действия:
Предполагается, что L3-связанность с ECCM уже настроена или должна быть настроена в соответствии с вашей сетевой инфраструктурой.
Настройка SNMPv3
Настраивается для обеспечения безопасности и контроля доступа. Так как протокол позволяет проводить проверку подлинности отправителя (аутентификацию), данные передаются в зашифрованном виде.
В данном руководстве SNMPv1 и SNMPv2 не рассматриваются, поскольку не обеспечивают необходимого уровня безопасности.
Настройка SNMPv3
esr(config)# snmp-server user snmpv3esr esr(config-snmp-user)# access ro esr(config-snmp-user)# authentication access priv esr(config-snmp-user)# authentication algorithm sha1 esr(config-snmp-user)# authentication key ascii-text eltex_password esr(config-snmp-user)# privacy algorithm aes128 esr(config-snmp-user)# privacy key ascii-text eltex_key esr(config-snmp-user)# enable esr(config-snmp-user)# exit esr(config)# snmp-server
Пояснения
Данной командой осуществляется переход в режим создания пользователя SNMPv3. Данной командой определяется уровень доступа по протоколу SNMPv3 (ro – только для чтения; rw – для чтения и записи). Данной командой определяется режим безопасности (priv – используется аутентификация и шифрование данных, auth – только аутентификация). Данная команда определяет алгоритм аутентификации SNMPv3-запросов (md5 – пароль шифруется по алгоритму md5; sha1 – пароль шифруется по алгоритму sha1). Данная команда устанавливает пароль для аутентификации SNMPv3-запросов (пароль, задается строкой от 8 до 32 символов). Данная команда определяет алгоритм шифрования передаваемых данных (aes128 – использовать алгоритм шифрования AES-128; aes256 – использовать алгоритм шифрования AES-256; des – использовать алгоритм шифрования DES). Данная команда устанавливает пароль для шифрования передаваемых данных (пароль, задается строкой от 8 до 32 символов). Данной командой активируется SNMPv3-пользователь. Данной командой осуществляется переход в режим конфигурирования устройства. Данной командой включается SNMP-сервер как в глобальной таблице маршрутизации, так и во всех созданных VRF.
Настройка SSH
Настраивается для обеспечения защищенного удаленного доступа к устройству. Протокол использует шифрование для защиты передаваемых данных, предотвращая перехват паролей и команд. Также позволяет выполнять аутентификацию пользователя по паролю или ключам, обеспечивая контроль доступа и повышение общей безопасности управления системой.
Настройка SSH
esr(config)# ip ssh server esr(config)# ip ssh key-exchange time 8 esr(config)# ip ssh authentication algorithm md5 disable esr(config)# ip ssh authentication algorithm md5-96 disable esr(config)# ip ssh authentication algorithm ripemd160 disable esr(config)# ip ssh authentication algorithm sha1 disable esr(config)# ip ssh authentication algorithm sha1-96 disable esr(config)# ip ssh authentication algorithm sha2-256 disable esr(config)# ip ssh encryption algorithm 3des disable esr(config)# ip ssh encryption algorithm aes128 disable esr(config)# ip ssh encryption algorithm aes128ctr disable esr(config)# ip ssh encryption algorithm aes192 disable esr(config)# ip ssh encryption algorithm aes192ctr disable esr(config)# ip ssh encryption algorithm aes256 disable esr(config)# ip ssh encryption algorithm arcfour disable esr(config)# ip ssh encryption algorithm arcfour128 disable esr(config)# ip ssh encryption algorithm arcfour256 disable esr(config)# ip ssh encryption algorithm blowfish disable esr(config)# ip ssh encryption algorithm cast128 disable esr(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable esr(config)# ip ssh key-exchange algorithm dh-group1-sha1 disable esr(config)# ip ssh key-exchange algorithm dh-group14-sha1 disable esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp256 disable esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp384 disable esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp521 disable esr(config)# ip ssh host-key algorithm dsa disable esr(config)# ip ssh host-key algorithm ecdsa256 disable esr(config)# ip ssh host-key algorithm ecdsa384 disable esr(config)# ip ssh host-key algorithm ecdsa521 disable esr(config)# ip ssh host-key algorithm ed25519 disable
Пояснения
Данной командой включается SSH-сервер на маршрутизаторе. Данная команда устанавливает период времени смены ключей аутентификации для SSH-сервера (период времени в часах, принимает значения [1..72]). Отключаем устаревшие и не криптостойкие алгоритмы.
При размещении NMS в недоверенной сети рекомендуется изменить стандартный SSH-порт командой:
ip ssh port <PORT>, где <PORT> – номер порта, указывается в диапазоне [1..65535].
Настройка Firewall
Настраивается для контроля входящего и исходящего трафика в соответствии с заданными правилами безопасности. Позволяет ограничивать доступ к сетевым ресурсам, предотвращать несанкционированные подключения и блокировать потенциальные угрозы. Обеспечивает фильтрацию пакетов, мониторинг активности и создание безопасной сетевой среды.
В примере используется адрес ECCM — 192.168.1.4.
Настройка SNMPv3
esr-30(config)# security zone MGMT esr-30(config-security-zone)# exit esr-30(config)# security zone-pair MGMT self esr-30(config-security-zone-pair)# rule 1 esr-30(config-security-zone-pair-rule)# description "SNMP traffic from ECCM" esr-30(config-security-zone-pair-rule)# action permit esr-30(config-security-zone-pair-rule)# match protocol udp esr-30(config-security-zone-pair-rule)# match destination-port port-range 161 esr-30(config-security-zone-pair-rule)# match source-address address-range 192.168.1.4 esr-30(config-security-zone-pair-rule)# enable esr-30(config-security-zone-pair-rule)# exit esr-30(config-security-zone-pair)# rule 2 esr-30(config-security-zone-pair-rule)# description "SSH traffic from ECCM" esr-30(config-security-zone-pair-rule)# action permit esr-30(config-security-zone-pair-rule)# match protocol tcp esr-30(config-security-zone-pair-rule)# match destination-port port-range 22 esr-30(config-security-zone-pair-rule)# match source-address address-range 192.168.1.4 esr-30(config-security-zone-pair-rule)# enable esr-30(config-security-zone-pair-rule)# exit esr-30(config-security-zone-pair)# exit
Пояснения
Данная команда используется для создания зон безопасности и перехода в режим конфигурирования зоны. Данной командой осуществляется переход в режим конфигурирования устройства. Данная команда используется для создания группы правил для пары зон безопасности. Данная команда используется для создания правила и перехода в командный режим SECURITY ZONE PAIR RULE. Данная команда используется для изменения описания конфигурируемой зоны или пары зон безопасности. Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего заданным критериям. Данной командой устанавливается имя или номер IP-протокола, для которого должно срабатывать правило. Данной командой устанавливается профиль TCP/UDP-портов получателя, для которых должно срабатывать правило. Данной командой устанавливается профиль IP-адресов отправителя, для которых должно срабатывать правило. Данная команда используется для активирования правила. Данной командой осуществляется переход в режим создания группы правил для пары зон безопасности. Данная команда используется для создания правила и перехода в командный режим SECURITY ZONE PAIR RULE. Данная команда используется для изменения описания конфигурируемой зоны или пары зон безопасности. Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего заданным критериям. Данной командой устанавливается имя или номер IP-протокола, для которого должно срабатывать правило. Данной командой устанавливается профиль TCP/UDP-портов получателя, для которых должно срабатывать правило. Данной командой устанавливается профиль IP-адресов отправителя, для которых должно срабатывать правило. Данная команда используется для активирования правила. Данной командой осуществляется переход в режим создания группы правил для пары зон безопасности. Данной командой осуществляется переход в режим конфигурирования устройства.
Если SSH-порт изменён на нестандартный, необходимо разрешить трафик на указанный порт в правилах безопасности.