Настраиваем TACACS+ Печать


Когда сеть админят больше одного человека и в сети больше 5 шелезок и на каждой установлен разный пароль - админить такую сеть становится не в радость. А если ещё и что-то случилось, то узнать кто "уронил" железку будет не просто. Поэтому в средних и крупных сетях успользуют протоколы авторизации TACACS+ и RADIUS. Здесь раскажу про первый.

TACACS — это простой протокол управления доступом. TACACS+ является протоколом последнего поколения из серии протоколов TACACS. Протокол реализует три основные функции: Аутентификация, Авторизация, Аудит.

Другими словами, при доступе к сетевому устройству с включённым протоколом TACACS+ у Вас спросят логин и пароль, которые отправятся на сервер авторизации, там они проверятся на правильность, далее, в соответствии с вашей учётной записью, вам предоставятся те или иные права доступа к устройству и затем, все ваши действия на устройстве будут логироваться на сервере авторизации, как выполненые от имени вашей учётной записи.

Для включения TACACS+ на маршрутизаторах Cisco используйте следующие команды:



 
Настраиваем NTP на Cisco Печать

Очень часто при решении проблем с работой сети приходится обращаться к команде show log, но если время на маршрутизаторе установлено не правильно, то разобраться что к чему будет не так просто. Поэтому очень важно иметь правильно настроенное время. Для автоматической установки часов сетевого устройства лучше всего использовать протокол NTP. Настройка протокола NTP на устройствах cisco осуществляется следующими командами:

conf t
ntp source Loopback0
ntp server 10.1.1.7

service timestamps debug datetime localtime show-timezone
service timestamps log datetime localtime show-timezone
clock timezone MSK 3
clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 3:00


 
ACL Anti Spoofing Печать
Такой список доступа применяется на внешнем интерфейсе пограничного маршрутизатора для фильтрации пакетов с ip-адресом источника не соответствующим адресам публичной сети.
ip access-list extended ANTISPOOFING
deny ip 10.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip host 255.255.255.255 any
deny ip 224.0.0.0 15.255.255.255 any
permit ip any any

Важно: с таким ACL надо быть очень осторожным в случае, если вы работаете с шифрованными туннелями IPSec. Дело в том, что ACL, висящий на вход интерфейса, проверяет сначала заголовок зашифрованного пакета, а потом - заголовок расшифрованного. Поэтому запрет трафика от частных сетей (10, 172, 192) может нарушить работу туннеля.

Курс молодого бойца.



 
Настраиваем NetFlow на Cisco Печать

NetFlow — это протокол, разработанный компанией Cisco и предназначенный для сбора информации об IP-трафике внутри сети. Маршрутизаторы Cisco анализируют проходящий через интерфейс траффик, суммируют данные и отправляют статистику в формате NetFlow на специальный узел, называемый NetFlow Сollector. NetFlow часто используется для ведения биллинга или для анализа траффика сети. Протокол существует в нескольких версиях, последняя версия 9 предназначена для учёта траффика между АС (Автономная Система) и в импортируемых данных имеет несколько дополнительных полей таких как АС источника, АС назначения и пр., но обычно, для биллинга в не сложной сети внутри одной АС достаточно информации, содержащейся в данных NetFlow версии ‎5.

В общем случае, для того, чтобы настроить протокол NetFlow на устройствах Сisco, необходимо выполнить следующие команды:



 
Консоль через AUX Печать

Иногда возникает задача удалённо попасть на консоль какого нибудь устройства Cisco. Например, когда вы работаете на важном удалённом оборудовании и связь с ним может пропасть из-за его неправильной конфигурации. Чтобы уберечь себя от возможных проблем можно использовать так называемый обратный телнет. Для этого сделайте патчкорд для консоли (обжатый типом Rollover) и заранее подключите один его конец к AUX порту устройства, связь с которым надёжна, а другим концом в консольный порт устройства, связь с которым может потеряться. Теперь, если наже устройство стало недоступным по сети, зайти на него можно через консоль. Для этого, на нашем устройстве с AUX портом выполните:



 
«ПерваяПредыдущая12СледующаяПоследняя»

Страница 1 из 2

Последние комментарии