Kategoria: Zarządzanie siecią

(KP) Przykładowa konfiguracja protokołu SNMP*
Przykładowa konfiguracja protokołu SNMP

Konfiguracja …

Konfiguracja protokołu SNMP bez zabezpieczeń

(config)# snmp-server group Grupa1 v3 noauth
(config)# snmp-server user Użytkownik1 Grupa1 v3
Konfiguracja protokołu SNMP bez zabezpieczeń.

Konfiguracja protokołu SNMP z podstawowymi zabezpieczeniami

(config)# snmp-server group Grupa2 v3 auth
(config)# snmp-server user Użytkownik2 Grupa2 v3 auth md5 hasło
(config)# snmp-server user Użytkownik3 Grupa2 v3 auth sha hasło
Konfiguracja protokołu SNMP z podstawowymi zabezpieczeniami.

Konfiguracja protokołu SNMP z pełnym zabezpieczeniem komunikacji

(config)# snmp-server group Grupa3 v3 priv
(config)# snmp-server user Użytkownik4 Grupa3 v3 auth md5 hasło priv des klucz
(config)# snmp-server user Użytkownik5 Grupa3 v3 auth md5 hasło priv 3des klucz
(config)# snmp-server user Użytkownik6 Grupa3 v3 auth sha hasło priv aes 128 klucz
Konfiguracja protokołu SNMP z pełnym zabezpieczeniem komunikacji.

Pozostałe tematy związane z protokołem SNMP
26 stycznia 2020

(T) Teoria protokołu SNMP*

Wprowadzenie do protokołu SNMP

Podstawowe zagadnienia dotyczące protokołu SNMP

Agent SNMP – Oprogramowanie działające na przełączniku bądź innym urządzeniu sieciowym. Zbierające oraz przechowujące informacje zebrane na temat konfiguracji oraz statusu lokalnego urządzenia.
Manager SNMP – Urządzenie zbierające informacje, od wszystkich skonfigurowanych agentów SNMP.
NMS (Network Management Station) – Oprogramowanie pobierające informacje od agentów SNMP.
MIB (Management Information Base) – Lokalna baza agenta SNMP, zawierającą zmienne określające poszczególne parametry lokalnego urządzenia. Pośród różnych wartości MIB istnieją zmienne uniwersalne dostępne na większości urządzeń jak i te unikalne dla danego producenta czy konkretnej wersji oprogramowania.

Proces wymiany danych pomiędzy agentem a menadżerem SNMP

Menadżer NMS systematycznie wysyła zapytania Get Request, w celu pobrania wartości zmiennych zapisanych w bazie MIB, agentów SNMP. Po zweryfikowaniu poziomu dostępu, agent odsyła odpowiedź w formie wiadomości Get Response, zawierającą wartość zmiennej bądź wielu zmiennych pobranych z bazy MIB.
Menadżer NMS systematycznie wysyła wiadomości Get w celu pobrania najnowszych informacji na temat śledzonego agenta. Metoda ta nie zapewnia jednak monitoringu w czasie rzeczywistym, aby go osiągnąć agent SNMP musi mieć włączoną opcję wysyłania wiadomości Trap bądź Inform. Dzięki której zyskuje możliwość informowania menadżera NMS o ważnych wydarzeniach w czasie rzeczywistym.
Komunikacja pomiędzy agentem a menadżerem NMS może być również inicjowana z poziomu agenta SNMP, w takim przypadku wysyła on notyfikację (Notification) za pomocą wiadomości Trap bądź wiadomości Inform. Komunikacja ta może być zainicjowana przekroczeniem określonego progu wartości zmiennej bazy MIB bądź zajściem nagłego zdarzenia związanego np. z bezpieczeństwem monitorowanego urządzenia. Przykładową sytuacją obligującą agenta SNMP do wysłania wiadomości Trap może być zmiana statusu interfejsu sieciowego z Up na Down.

Wiadomości Trap oraz Inform są wysyłana za pomocą protokołu UDP na porcie 162.

Wiadomości Get oraz Set są wysyłana za pomocą protokołu UDP na porcie 161.

Wiadomości wykorzystywane przez protokół SNMP

Wiadomość Trap – Tak samo jak wiadomość Inform, ma za zadanie informować menadżera NMS o ważnych zmiana zachodzących w bazie MIB agenta protokołu SNMP. Chodź obydwie wiadomości mają podobny cel, różnią się w metodzie działania. Wiadomość Trap kieruje się zasadą „Fire-and-Forget” co oznacza, że po wysłaniu wiadomości agent SNMP nie oczekuje otrzymania potwierdzenia o dotarciu danych od menadżera NMS.
Wiadomość Inform – Tak samo jak wiadomość Trap wykorzystuje protokołu UDP w warstwie transportowej, jednak w tym przypadku komunikacja pomiędzy agentem menadżerem a SNMP wzbogacona jest o aplikacyjnie zaimplementowaną osiągalność. Tym samym każda wysłana wiadomość Inform musi być potwierdzona.
Wiadomość Get Request – Stanowi żądanie o wartość konkretnej zmiennej MIB.
Wiadomość Get Next Request – Stanowi żądanie kolejnej wartości, następującej po tej która została otrzymana.
Wiadomość Get Bulk Request – Stanowi żądanie o całą tablicę bądź wartość szeregu zmiennych MIB.
Wiadomość Get Response – Stanowi odpowiedź na wiadomości Get Request oraz Get Bulk jak i Get Next.
Wiadomość Set Response – Stanowi żądanie o zmianę wartości, konkretnej zmiennej MIB.
Wiadomości Get a wersje protokołu SNMP:
- Get Request, Get Next oraz Get Response wspierają wszystkie wersje protokołu SNMP.
- Get Bulk wspiera jedynie wersja druga oraz trzecia protokołu SNMP (SNMPv2, SNMPv3).

Zabezpieczanie protokołu SNMP

Według zasady „Best Practices” dostęp do agenta SNMP, powinien być zabezpieczony za pomocą listy dostępu ACL, tak aby tylko zaufane stacje NMS mogły pobierać dane z bazy MIB bądź modyfikować jej zawartość.
Protokół SNMP w wersji pierwszej (SNMPv1) wykorzystuje mechanizm autentykacji urządzeń za pomocą hasła (Communities) zapisywanego w postaci czystego tekstu (Community String). Hasła wysyłane są za pomocą wiadomości Get bądź Set przy każdej operacji wykonywanej przez menadżera na agencie SNMP.
Protokół SNMP w wersji pierwszej określa poziom dostępu menadżera NMS do agenta za pomocą trybu RO (Read-only community) bądź trybu RW (Read-Write community). W przypadku opcji RO agent zezwala na otrzymywanie jedynie wiadomości Get natomiast w przypadku trybu RW przepuszcza zarówno wiadomości pobierające wartości zmiennych z bazy MIB (Get Request) jak i te mające możliwość wprowadzania zmian w bazie (Set Response).
Protokół w wersji drugiej (SNMPv2) w swojej pierwotnej wersji nie posiadał podziału na (communities RO oraz RW) jednak jego poprawiona wersja (SNMPv2c) przywróciła usuniętą funkcjonalność protokołu SNMPv1.
Protokół SNMP w wersji trzeciej (SNMPv3) ponownie wykluczył podział na (communities RO oraz RW), dodając w zamian szereg funkcjonalności mających zadbać o bezpieczeństwo wymienianych danych. Funkcje te są następujące:
- Funkcja Message Integrity – Zaimplementowana we wszystkich rodzajach wiadomości SNMPv3, bada czy wysłana wiadomość uległa zmianie, podczas transmisji pomiędzy menadżerem a agentem SNMP.
- Funkcja Authentication – Zapewnia dodatkową autentykację przy użyciu loginu oraz za-haszowanego hasła.
- Funkcja Encryption (Privacy) – Zapewnia dodatkowe szyfrowanie zawartości wiadomości SNMPv3.

Porównanie wiadomości Get, Trap & Set, Inform

Wiadomości Get / Set odnoszą się do komunikacji menadżer NMS -> Agent SNMP.
Wiadomości Trap / Inform odnoszą się do komunikacji Agent SNMP -> menadżer NMS.

MIB – Management Information Base

Struktura bazy MIB

Każdy agent protokołu SNMP posiada swoją własną lokalną bazę MIB, zawierającą informację dotyczące lokalnego urządzenia w postaci zmiennych. Każda zmienna nazywana jest przez protokół SNMP obiektem, posiadającym unikalną wartość ID zwaną OID (Object ID).
W przypadku przełączników Cisco Catalyst, baza MIB jest na bieżąco aktualizowana danymi zbieranymi w czasie rzeczywistym, następnie dane te są zapisywane w pamięci urządzenia.
Baza MIB posiada zorganizowaną strukturę, w której wartości OID są poukładane w formie drzewa, a zapisywane w postaci ciągu liczb oddzielonych od siebie kropkami, przykładowa wartość wygląda następującą 1.3.6.1.4.1.9.2.1.58.0.
Każda baza MIB jest napisana w języku ASN.1 (Abstract Syntax Notation 1).

Znaczenie przykładowej wartości OID

Wartość OID: 1.3.6.1.4.1.9.9.10
- 1 – Iso, 3 – Org, 6 – Dod, 1 – Internet, 4 – Private, 1 – enterprises, 9 – Cisco, 9 – Cisco mgmt, 10 – Cisco flash group.

Wersje protokołu SNMP

SNMPv1 (RFC 1157).
SNMPv2c (RFC 1901).
SNMPv3 (RFC 3410–3415).

SNMPv1	SNMPv2	SNMPv3
Wspiera GET, nie wspiera GET-BULK	Wspiera GET jak i GET-BULK	Wspiera GET jak i GET-BULK
Wykorzystuje uwierzytelnianie za pomocą strink	Wykorzystuje uwierzytelnianie za pomocą community strink	Wykorzystuje uwierzytelnianie za pomocą nazwy użytkownika
Nie wspiera szyfrowania	Nie wspiera szyfrowania	Wspiera szyfrowanie

Protokół SNMP w wersji trzeciej

Protokół SNMPv3

Protokół SNMP w wersji trzeciej nie wykorzystuje znanego ze wcześniejszych wersji protokołu SNMP, podziału na (communities), w zamian za to oferując podział na grupy oraz użytkowników. Inną dodatkową funkcjonalnością protokołu SNMPv3 jest opcjonalna Enkrypcja wysyłanych wiadomości (Message Encryption), Jak i ogólna poprawa bezpieczeństwa uzyskana przy pomocy każdorazowej weryfikacji integralności (Message Integrity) lub opcjonalnej autentykacji (Message Authentication).
Jedną z podstawowych zmian wprowadzonych w protokole SNMPv3, jest nowe podejście do zarządzania bazą MIB. Nowy protokół wykorzystuje system widoków (SNMP Views), określających jakie dane na temat lokalnego urządzenia można monitorować a jakie są nie dostępne. Dodatkowo istnieje możliwość tworzenia własnych widoków.
Domyślnym widokiem protokołu SNMPv3 jest widok „v1default”, ustawiony w konfiguracji tylko do odczytu. Oczywiście istnieje opcjonalna możliwość ustawienia funkcji zarówno odczytu jak i zapisu danych MIB, za pomocą komendy [snmp-server group name v3 noauth write v1default].
Protokół SNMP w wersji trzeciej wprowadził nowe funkcje bezpieczeństwa, umożliwiające wybór jednego z trzech scenariuszy zabezpieczeń, wprowadzonych w komunikacji pomiędzy agentem a menadżerem NMS.
- Podstawowy scenariusz (noauth) – Zapewnia jedynie podstawowe zabezpieczenie integralności wiadomości SNMP.
- Środkowy scenariusz (auth) – Zapewnia autentykację za pomocą nazwy użytkownika jak i hasła haszowanego za pomocą algorytmu MD5 bądź algorytmu SHA.
- Zaawansowany scenariusz (priv) – Zapewnia autentykację za pomocą nazwy użytkownika jak i hasła haszowanego za pomocą algorytmu MD5 bądź SHA oraz enkrypcji całej zawartości wiadomości SNMP za pomocą algorytmu DES, 3DES bądź AES.

Komenda	Wiadomość	Sprawdzanie integralności	Autentykacja wiadomości SNMP	Enkrypcja wiadomości SNMP
noauth	noAuthNoPriv	Tak	Nie	Nie
auth	authNoPriv	Tak	Tak	Nie
priv	priv	Tak	Tak	Tak

Porównanie metod zabezpieczających komunikację protokołu SNMPv3

Struktura komend wykorzystywana w konfiguracji protokołu SNMPv3

Komenda SNMP Group – Tworzy grupę definiującą wersję protokołu SNMP, scenariusz zabezpieczeń, tryb dostępu (Read, Write), widok bazy MIB oraz dodatkowe zabezpieczenia w postaci listy dostępu ACL.
Komenda SNMP User – Tworzy użytkownika przypisanego do danej grupy protokołu SNMPv3, określającego konkretne właściwości scenariusza zabezpieczeń, takie jak nazwę użytkownika, opcjonalne hasło z metodą haszowania oraz opcjonalny algorytm enkrypcji wiadomości SNMP (Dane te muszą byś zgodne z wybranym scenariuszem grupy SNMP, inaczej dany użytkownik nie zostanie połączony z określoną grupą, a tym samym połączenie pomiędzy agentem a menadżerem NMS nie zostanie nawiązane).
Komenda SNMP Host – Definiuje dane dotyczące menadżera NMS, określając jego adres IP, wersję protokołu SNMP, scenariusz zabezpieczeń, nazwę użytkownika oraz wersję wysyłanych wiadomości SNMP (Trap, Inform). Dane dotyczące scenariusza zabezpieczeń muszą byś zgodne z wybranym scenariuszem grupy SNMP, inaczej dany menadżer NMS nie zostanie powiązany z określoną grupą SNMP, a tym samym koniunkcja pomiędzy agentem a menadżerem zawiedzie.

Różnice pomiędzy poszczególnymi wersjami protokołu SNMP

Cechy charakterystyczne protokołu SNMPv1:
- Protokół SNMPv1 wprowadził podstawowe wiadomości Get, Set oraz Trap, wraz z zasadą podziału na (communities).
- Teoretycznie w przypadku protokołu SNMPv1 tylko menadżer NMS należący do odpowiedniej communities (RW), mógł dokonywać zmian w zawartości bazy MIB danego agenta. Jednak w praktyce pozbawiony zabezpieczeń protokół zezwalał na to każdemu, kto wysłał odpowiednio spreparowane żądanie „Set Request”.
Cechy charakterystyczne protokołu SNMPv2c:
- Protokół SNMPv2c zwiększył wielkość zmiennych z 32 bitów do 64 bitów, wprowadzając również nowe wiadomości Get Bulk oraz Get inform.
Cechy charakterystyczne protokołu SNMPv3:
- Protokół SNMPv3 pozbył się podziału na (communities), zastępując go grupami SNMP. Dodatkowo zwiększył poziom zabezpieczeń wspierany przez system użytkowników, autentykacji, badania integralności oraz enkrypcji wysyłanych wiadomości. Nowy protokół SNMP zmienił również sposób zarządzania bazą MIB wprowadzając widoki (View).
Różniące pomiędzy protokołem SNMPv2 & SNMPv2c:
- Protokół SNMP w wersji drugiej (SNMPv2) nie posiada podziału na (communities) RO oraz RW.
- Poprawiony protokół SNMP w wersji drugiej (SNMPv2c) ponownie wprowadza podział na (communities).

Pozostałe tematy związane z protokołem SNMP

26 stycznia 2020

(K) Konfiguracja protokołu SNMP*
Konfiguracja protokołu SNMPv1 oraz SNMPv2c

Konfiguracja protokołu SNMPv1 oraz protokołu SNMPv2c
```
Aby aktywować agenta SNMP na urządzeniu Cisco IOS, wystarczy wykonać przynajmniej jedną komendę [snmp-server]. Natomiast aby wyłączyć protokół SNMP, należy usunąć wszystkie wykonane komendy [snmp-server].
```
```
W przypadku protokołu SNMP, agent pracuje w trybie serwera natomiast menadżer NMS w trybie klienta.
```
(config)# snmp-server community nazwa RO [Nazwa-ACL]
Włącza agenta protokołu SNMP na danym urządzeniu, w trybie community RO. Dodatkowa komenda „Nazwa-ACL” aktywuje filtracje ruchu za pomocą listy ACL.

(config)# snmp-server community nazwa RW [Nazwa-ACL]
Włącza agenta protokołu SNMP na danym urządzeniu, w trybie community RW. Dodatkowa komenda „Nazwa-ACL” aktywuje filtracje ruchu sieciowego za pomocą listy ACL.

(config)# snmp-server community nazwa Nazwa-ACL
Aktywuje filtracje ruchu sieciowego za pomocą listy ACL.

(config)# snmp-server location opis-lokalizacji
Dodaje opis lokalizacji, w której znajduje się urządzenie.

(config)# snmp-server contact osoba-kontaktowa
Określa osobę kontaktową przypisaną do danego urządzenia.

Konfiguracja wiadomości Trap / Inform

(config)# snmp-server host {nazwa-NMS / adres-IP-NMS} [informs/ traps] version {1 / 2c / 3} nazwa
Rozpoczyna wysyłanie powiadomień Trap, bądź opcjonalnie Inform do sprecyzowanego w komędzie menadżera NMS (Adres IP).

(config)# snmp-server enabled {traps / inform}
Zezwala na wysyłanie wszystkich skonfigurowanych zdarzeń.

(config)# snmp-server source-interface {traps / inform} interfejs
Określa źródłowy interfejs z którego będą nadawane wiadomości SNMP Trap bądź Inform.

Komendy SHOW

# show snmp community
Wyświetla konfigurację protokołu SNMP.

# show snmp location
Wyświetla opis lokalizacji lokalnego urządzenia.

# show snmp contact
Wyświetla dane osoby kontaktowej przypisanej do lokalnego urządzenia.

# show snmp host
Wyświetla listę skonfigurowanych menadżerów NMS.

# show snmp
Wyświetla status jak i statystyki protokołu SNMP.

Konfiguracja protokołu SNMPv3

Proces konfiguracji protokołu SNMPv3

Konfiguracja protokołu SNMP

Konfiguracja protokołu SNMPv3
```
Podczas konfiguracji protokołu SNMPv3 należy uważać, aby wybrany scenariusz zabezpieczeń użytkownika jak i hosta, był zgodny z wybranym scenariuszem zabezpieczeń określonej grupy SNMP. W przeciwnym wypadku połączenie pomiędzy agentem a menadżerem nie zostanie nawiązane.
```
```
Domyślnym widokiem dla protokołu SNMPv3 jest „v1default”.
```
Konfiguracja widoku SNMP

(config)# snmp-server view nazwa-widoku wartość-OID included
Tworzy nowy widok protokołu SNMP zawierający wskazaną wartość OID.

Podstawowa Konfiguracja protokołu SNMPv3

(config)# snmp-server group nazwa-grupy v3 {noauth / auth / priv} {[read nazwa-widoku / write nazwa-widoku]} [access lista-ACL] [notify]
Tworzy nową grupę protokołu SNMPv3.

(config)# snmp-server user nazwa-użytkownika nazwa-grupy v3 [auth {md5 hasło / sha hasło}] [priv {des klucz / 3des klucz / aes {128 / 192 / 256} klucz}]
Tworzy nowego użytkownika protokołu SNMPv3.

(config)# snmp-server host adres-IP [none / traps / inform](traps) version 3 {noauth / auth / priv} nazwa-użytkownika
Definiuje menadżera NMS dla protokołu SNMP (Jedna komenda dotyczy jednego menadżera NMS).

Konfiguracja wiadomości Trap / Inform

(config)# snmp-server enable traps
Zezwala na wysyłanie wszystkich dostępnych powiadomień protokołu SNMP do wszystkich skonfigurowanych menadżerów NMS (hosts), zdefiniowanych komendą [snmp-server host].

(config)# snmp-server enable traps funkcja
Zezwala na wysyłanie określonych w komendzie powiadomień protokołu SNMP do wszystkich skonfigurowanych menadżerów NMS (hosts), zdefiniowanych komendą [snmp-server host]. Przykładowe funkcje są następujące: vtp, ospf, eigrp, bgp, isis, syslog, mpls, ethernet, pppoe, cpu, nhrp, hsrp, vrrp, glbp.

(config)# snmp-server source-interface {traps / inform} adres-IP-NMS
Określa źródłowy interfejs do nadawania wiadomości SNMP, Trap bądź opcjonalnie Inform.

Komendy SHOW

# show snmp group
Wyświetla informację dotyczące skonfigurowanych grup protokołu SNMP.

# show snmp user
Wyświetla informację dotyczące skonfigurowanych użytkowników protokołu SNMP (W tym informacje dotyczące wykorzystanych algorytmów szyfrujących jak i protokołów autentykacji).

# show snmp host
Wyświetla informację dotyczące skonfigurowanych menadżerów NMS protokołu SNMP.

Pozostałe tematy związane z protokołem SNMP
26 stycznia 2020
(K) Konfiguracja protokołu SPAN*
Local SPAN & Remote SPAN

Konfiguracja funkcji SPAN

(config)# monitor session numer-sesji source {interface interfejs(zakres interfejsów) / vlan vlan-ID(zakres sieci VLAN) / cpu} [rx / tx / both](both)
Określa interfejsy lub sieci VLAN, których ruch sieciowy będzie kopiowany a następnie wysyłany do interfejsu docelowego (Monitorującego). Słowo kluczowe „rx” umożliwia przechwytywanie ruch wychodzącego, „tx” przychodzącego natomiast „both” przechwytuje zarówno ruch wychodzący jak i przychodzący.
```
Ruch sieciowy blokowany na podstawie listy PACL, jest nadal przechwytywany przez funkcję SPAN / RSPAN.
```
(config)# monitor session numer-sesji destination interface interfejs [encapsulation replicate]
Określa interfejs docelowy na który przysłany jest przechwycony ruch sieciowy. Dodatkowa opcja „encapsulation replicate” zmienia domyślne ustawienia przechwytywania ruchu sieciowego, przepuszczając cały ruch źródłowy na interfejs docelowy (Domyślnie ramki stworzone przez lokalny przełącznik nie są przechwytywane a tym samym nie dotrą do interfejsu docelowego. Do ramek tych należą wiadomości protokołu STP, VTP, CDP, LLDP czy DTP).

Opcjonalna konfiguracja funkcji SPAN:

(config)# monitor session numer-sesji filter vlan vlan-ID
Umożliwia filtrowanie monitorowanego ruchu sieciowego dla połączeń typu Trunk, względem konkretnych sieci VLAN. Jedynie określone w komendzie sieci VLAN będą monitorowane

(config)# monitor session destination
Nadpisuje domyślne zachowanie funkcji SPAN, RSPAN umożliwiając interfejsowi monitorującemu „Destination Port”, odpieranie jak i wysyłanie ruchu sieciowego.

(config)# monitor session numer-sesji destination interface interfejs ingress {dot1q vlan vlan-ID / isl / untagged vlan vlan-ID}
Określa zasadę działania interfejsu monitorującego „Destination Port” (Trunk, Access) przy aktywnej komędzie [monitor session destination].

(config)# monitor event-trace
Włącza funkcjonalność umożliwiającą zarządzanie przechwytywanym ruchem sieciowym.

Konfiguracja funkcji RSPAN

Etap pierwszy – Konfiguracja sesji źródłowej

(config)# vlan vlan-ID
Tworzy sieć VLAN, służącą do przenoszenia przechwyconego ruchu sieciowego (RSPAN VLAN).

(config-vlan)# remote-span
Określa funkcję VLAN-u, jako sieci przenoszącej przechwycony ruch sieciowy (RSPAN).

(config)# monitor session numer-sesji source {interface interfejs(zakres interfejsów) / vlan vlan-ID(zakres interfejsów)} [rx / tx / both](both)
Określa interfejsy lub sieci VLAN, których ruch sieciowy będzie kopiowany a następnie wysyłany do interfejsu docelowego (Monitorującego). Słowo kluczowe „rx” umożliwia przechwytywanie ruch wychodzącego, „tx” przychodzącego natomiast „both” przechwytuje zarówno ruch wychodzący jak i przychodzący.
```
Ruch sieciowy blokowany na podstawie listy PACL, jest nadal przechwytywany przez funkcję SPAN / RSPAN.
```
(config)# monitor session numer-sesji destination remote vlan vlan-ID [reflector-port interfejs]
Określa docelową sieć VLAN, służącą do przenoszenia przechwyconego ruchu sieciowego.

Etap drugi – Konfiguracja sesji docelowej

(config)# vlan vlan-ID
Tworzy sieć VLAN, służącą do przenoszenia przechwyconego ruchu sieciowego (RSPAN VLAN).

(config-vlan)# remote-span
Określa funkcję VLAN-u, jako sieci przenoszącej przechwycony ruch sieciowy (RSPAN).

(config)# monitor session numer-sesji source remote vlan vlan-ID
Określa źródłową sieć VLAN, służącą do przenoszenia przechwyconego ruchu sieciowego.

(config)# monitor session numer-sesji destination interface interfejs [encapsulation replicate]
Określa interfejs docelowy na który przysłany jest przechwycony ruch sieciowy. Dodatkowa opcja „encapsulation replicate” zmienia domyślne ustawienia przechwytywania ruchu sieciowego, przepuszczając cały ruch źródłowy na interfejs docelowy (Domyślnie ramki stworzone przez lokalny przełącznik nie są przechwytywane a tym samym nie dotrą do interfejsu docelowego. Do ramek tych należą wiadomości protokołu STP, VTP, CDP czy DTP).
```
W przypadku funkcji RSPAN numer ID sesji nie musi być taki sam na obydwóch przełącznikach.
```
Dodatkowa konfiguracja funkcji RSPAN

(config)# monitor session numer-sesji filter vlan vlan-ID
Umożliwia filtrowanie monitorowanego ruchu sieciowego dla połączeń typu Trunk, względem konkretnych sieci VLAN.

(config)# monitor session destination
Nadpisuje domyślne zachowanie funkcji SPAN, RSPAN umożliwiając interfejsowi monitorującemu „Destination Port”, odpieranie jak i wysyłanie ruchu sieciowego.

(config)# monitor session numer-sesji destination interface interfejs ingress {dot1q vlan vlan-ID / isl / untagged vlan vlan-ID}
Określa zasadę działania interfejsu monitorującego „Destination Port” (Trunk, Access) przy aktywnej komędzie [monitor session destination].

(config)# monitor event-trace
Włącza funkcjonalność umożliwiającą zarządzanie przechwytywanym ruchem sieciowym.

Encapsulated Remote SPAN

Konfiguracja funkcji ERSPAN

Etap pierwszy – Konfiguracja sesji źródłowej

(config)# monitor session numer-sesji type erspan-source
Rozpoczyna konfigurację nowej źródłowej sesji ERSPAN.

(config-mon-erspan-src)# source interface interfejs [rx / tx / both](both)
Określa źródłowy interfejs sesji ERSPAN.

(config-mon-erspan-src)# destination
Przechodzi do poziomu konfiguracji urządzenia docelowego sesji ERSPAN.

(config-mon-erspan-src-dst)# erspan-id ID
Określa wartość ID dla danej sesji ERSPAN.

(config-mon-erspan-src-dst)# ip address docelowy-adres-IP
Określa docelowy adres IP dla danej sesji ERSPAN.

(config-mon-erspan-src-dst)# origin ip address źródłowy-adres-IP
Określa źródłowy adres IP dla danej sesji ERSPAN.

(config-mon-erspan-src-dst)# no shutdown
Aktywuje konfigurowaną sesję ERSPAN.

Etap drugi – Konfiguracja sesji docelowej

(config)# monitor session numer-sesji type erspan-destination
Rozpoczyna konfigurację nowej docelowej sesji ERSPAN.

(config-mon-erspan-dst)# destination interface interfejs
Określa docelowy interfejs sesji ERSPAN.

(config-mon-erspan-dst)# source
Przechodzi do poziomu konfiguracji urządzenia źródłowego sesji ERSPAN.

(config-mon-erspan-dst-src)# erspan-id ID
Określa wartość ID dla danej sesji ERSPAN.

(config-mon-erspan-dst-src)# ip address źródłowy-adres-IP
Określa źródłowy adres IP dla danej sesji ERSPAN.

(config-mon-erspan-dst-src)# no shutdown
Aktywuje konfigurowaną sesję ERSPAN.

Usuwanie sesji SPAN & RSPAN

(config)# no monitor session {numer-sesji / range zakres-wielu-sesji}
Usuwa sesję SPAN, RSPAN, ERSPAN.

(config)# no monitor session numer-sesji
Usuwa sesję SPAN, RSPAN, ERSPAN.

(config)# no monitor session local
Usuwa sesję RSPAN, ERSPAN.

(config)# no monitor session remote
Usuwa sesję RSPAN, ERSPAN.

Export ???

(config)# monitor capture 1 export tftp://adres-IP/ścieżka/do/pliku.pcap
Xxx

Komendy Show

# show monitor
Wyświetla informacje o konfiguracji funkcji SPAN oraz funkcji RSPAN.

# show running-config | include monitor
Wyświetla konfigurację funkcji SPAN oraz funkcji RSPAN.

# show vlan remote-span
Wyświetla aktywne sieci vlan, przenoszące ruch monitorujący RSPAN.

Pozostałe tematy związane z protokołem SPAN
24 stycznia 2020
(Ts) Troubleshooting protokołu SPAN*
Wykorzystanie interfejsów sieciowych

Funkcję portu źródłowego (Source Port) mogą pełnić
- Interfejsy fizyczne (FastEthernet, GigabitEthernet …).
- Interfejsy wirtualne (Etherchannel).
  - Monitorowanie pojedynczego interfejsu fizycznego (Należącego do grupy EtherChannel) nie jest możliwe.
  - Konfiguracja sesji SPAN winna być dokonywana względem interfejsu wirtualnego (Port-Channel).
  - Próba monitorowania pojedynczego interfejsu fizycznego, automatycznie wykluczy go z grupy EtherChannel.
- Interfejsy należący do innej sesji SPAN & RSPAN.
- Sieci wirtualne VLAN.
- Połączenia współdzielone Trunk.
Funkcję portu źródłowego (Source Port) nie mogą pełnić
- Jednocześnie interfejsy fizyczne wraz z sieciami wirtualnymi VLAN.
- Interfejs działający jako port docelowy dla innej sesji SPAN & RSPAN.
Funkcję portu docelowego (Destination Port) może pełnić
- Interfejs fizyczny (FastEthernet, GigabitEthernet …).
Funkcję portu docelowego (Destination Port) nie może pełnić
- Port docelowy (Destination Port) należący do innej sesji SPAN & RSPAN.
- Interfejs źródłowy (Source Port).
- Interfejs wirtualny (Etherchannel).
Local SPAN & Remote SPAN

Funkcja SPAN & RSPAN zabrania
- Jednoczesnego monitorowania interfejsów fizycznych wraz z wirtualnymi sieciami VLAN.
- Używania interfejsu logicznego jako interfejsu docelowego „Destination Port”.
- Używania sieci VLAN jako obiektu docelowego „Destination Port”.
- Używania interfejsu docelowego „Destination Port” jako interfejsu źródłowego „Source Port” dla innej sesji.
- Używania interfejsu źródłowego „Source Port” jako interfejsu docelowego „Destination Port”.
- Współdzielenia interfejsów docelowych „Destination Port” pomiędzy różnymi sesjami monitoringu.
- Wykorzystywania interfejsu wirtualnego Etherchannel jako interfejsu docelowego „Destination Port”.
```
Funkcja SPAN oraz RSPAN przesyła przechwycony ruch sieciowy na określony interfejs fizyczny. W tym momencie przestaję on funkcjonować jak zwykły interfejs a staje się interfejsem docelowym „Destination Port”. Blokowana jest na nim obsługa protokołu STP a dotrzeć do niego może jedynie przechwycony ruch sieciowy.
```
```
W przypadku nadesłania na interfejs docelowy zbyt dużej ilości ruchu sieciowego, nadmiarowa ilość jest porzucana.
```
- Podczas konfiguracji funkcji SPAN bądź RSPAN należy pamiętać, że docelowy interfejs monitorujący ruch sieciowy „Destination Port”, posiada ograniczoną przepustowość łącza. Tym samym przerzucanie na niego ruchu z wielu interfejsów źródłowych bądź sieci VLAN może być ponad jego możliwość, a tym samym doprowadzić do porzucania monitorowanego ruchu sieciowego. Dodatkowo należy pamiętać, aby host monitorujący ruch sieciowy, posiadał fizyczną możliwość analizy ruchu sieciowego w postaci odpowiedniej mocy procesora (CPU) oraz pamięci RAM.
Pytania i odpowiedzi

? Pytanie 1: Co się stanie gdy interfejs należący do połączenie wirtualnego EtherChannel, zostanie skonfigurowany jako interfejs docelowy „Destination Port” dla funkcji SPAN?

$ Odpowiedź 1: Interfejs zostanie usunięty z połączenia wirtualnego EtherChannel.

Pozostałe tematy związane z protokołem SPAN
24 stycznia 2020
(T) Teoria protokołu SPAN*
Local SPAN & Remote SPAN

Nazewnictwo wykorzystywane przez funkcję SPAN & RSPAN
- Ingress Source Port RX – Interfejs, którego ruch przychodzący jest przechwytywany przez funkcją SPAN & RSPAN.
- Engress Source Port TX – Interfejs, którego ruch wychodzący jest przechwytywany przez funkcją SPAN & RSPAN.
- Destination Port – Interfejs, na który przysłany jest przechwycony ruch sieciowy.
- SPAN Session – Pojedyncza sesja umożliwiającą przechwytywanie ruchu sieciowego z interfejsów sieciowych bądź sieci VLAN „Source Port”, na jeden określony interfejs docelowy „Destination Port”. Dane przechwytywane przez sesję SPAN mogą być ukierunkowane na ruch przychodzący „Ingress Source Port”, ruch wychodzący „Engress Source Port” bądź obydwa kierunki ruchu jednocześnie (Wychodzący jak i przychodzący).
- Source VLAN – Wirtualna sieć VLAN, której ruch sieciowy jest przechwytywany przez funkcją SPAN & RSPAN.
- RSPAN Source Session – Sesja źródłową, której ruch sieciowy jest przechwytywany przez funkcją RSPAN.
- RSPAN VLAN – Specjalna sieć VLAN przeznaczona do transportowania przechwyconego ruchu sieciowego, pomiędzy przełącznikiem posiadającym interfejs źródłowy „Source Port”,a przełącznikiem posiadającym interfejs docelowy „Destination Port”. Wirtualna sieć RSPAN VLAN:
  - Jest przenoszona jedynie przez połączenia Trunk-owe.
  - Może być ograniczana swoim zasięgiem, za pomocą funkcji VTP Pruning.
  - Funkcjonuje na zasadzie rozlewania „flooded” ruchu sieciowego.
  - Posiada aktywną instancję protokołu STP.
    Ramki BPDU są wymieniane jedynie na połączeniach Trunk-owych.
    Ruch protokołu STP jest blokowany na interfejsie docelowym „Destination Port”.
```
Powyższe punkty nie dotyczą ruchu przechwyconego przez interfejs źródłowy „Source Port”.
```
- RSPAN Reflector Port – Port przełącznika działający na zasadzie interfejsu Loopback dla funkcji RSPAN. Odbiera monitorowany ruch sieciowy z źródła „Source Port” by następnie przesłać go do sieci docelowej RSPAN VLAN (Niegdyś wymagany przy konfiguracji funkcji RSPAN, obecnie nie jest dostępny w nowszych wersjach systemu IOS).
SPAN – Switch Port Analyzer
- Powiela ruch sieciowy nadchodzący z wielu interfejsów źródłowych bądź sieci VLAN „Source Port”,kopiując go na jeden interfejs monitorujący „Destination Port” (Obydwa interfejsy muszą przynależeć do tego samego przełącznika fizycznego bądź logicznego (Stack Switching)).
- Blokuje funkcję uczenia się adresów MAC na interfejsie docelowym „Destination Port”.
RSPAN – Remote Switch Port Analyzer
- Powiela ruch sieciowy nadchodzący z wielu interfejsów źródłowych bądź sieci VLAN „Source Port”,kopiując go na jeden interfejs monitorujący „Destination Port” (Obydwa interfejsy nie mogą znajdować się na tym samym fizycznym bądź logicznym przełączniku (Stack Switching)).
- Wykorzystuje dedykowaną sieć VLAN (RSPAN VLAN) przeznaczoną do przenoszenia ruchu sieciowego pomiędzy przełącznikami (Sieć RSPAN VLAN ma zablokowaną funkcję uczenia się adresów MAC).
- Blokuje funkcję uczenia się adresów MAC na interfejsie docelowym „Destination Port”.
```
Sieć RSPAN VLAN może być dynamicznie propagowana za pomocą protokołu VTP w wersji Trzeciej.
```
Cechy wspólne funkcji SPAN & RSPAN
- Funkcja SPAN oraz RSPAN umożliwia przechwytywanie ruchu sieciowego z:
  - Interfejsu fizycznego bądź wielu interfejsów fizycznych konfigurowanego przełącznika.
  - Całej grupy portów EthernetChanel lub pojedynczego interfejsów należącego do grupy PortChanel.
  - Sieci VLAN (VSPAN „VLAN Remote Switch Port Analyzer” bądź „VLAN-based SPAN”).
  - Ruchu przychodzącego, wychodzącego jak i jednego i drugiego jednocześnie.
Pozostałe tematy związane z protokołem SPAN
24 stycznia 2020
(K) Konfiguracja protokołu NetFlow*
Konfiguracja protokołu NetFlow

Podstawowa konfiguracja funkcji NetFlow

(config)# ip flow-export destination adres-IP port-UDP
Określa adres IP serwera NetFlow (Colector).

(config)# ip flow-export source interfejs
Określa interfejs źródłowy (Exported).

(config)# ip flow-export version {1 / 5 / 9}
Określa wersję (Flow) protokołu NetFlow.

(config)# ip flow-export template timeout-rate 1-3600(30)(Minuty)
Xxx

(config)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# ip flow ingress
Rozpoczyna przechwytywanie statystyk ruchu przychodzącego na dany interfejs .

(config-if)# ip flow egress
Rozpoczyna przechwytywanie statystyk ruchu wychodzącego z danego interfejsu.

# show ip flow interface
Wyświetla podstawowe informacje dotyczące konfiguracji protokołu NetFlow, względem interfejsów sieciowych na których został on aktywowany.

Konfiguracja funkcji Flow Sampler
```
Funkcja Flow Sampler wyświetla statystyki dotyczące losowo pobranych pakietów.
```
(config)# flow-sampler-map nazwa-sampler
Tworzy nową instancję funkcji Flow Sampler.

(config-sampler)# mode random one-out-of 1-65535(100)
Pobiera jeden pakiet na określoną w komedie ilość pakietów.

(config-sampler)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# flow-sampler nazwa-sampler
Aktywuje określoną w komendzie instancję funkcji Flow Sampler.

# show flow-sampler
Wyświetla statystyki dotyczące losowo pobranych pakietów.

# show ip flow interface
Wyświetla podstawowe informacje dotyczące konfiguracji protokołu NetFlow, względem interfejsów sieciowych na których został on aktywowany.

Komendy SHOW

# show ip flow interface
Wyświetla konfigurację funkcji NetFlow, względem interfejsów danego urządzenia.

# show ip cache flow
Wyświetla zawartość pamięci cache, dla funkcji NetFlow.

# show ip cache verbose flow
Wyświetla szczegółową zawartość pamięci cache, dla funkcji NetFlow.

Pozostałe tematy związane z Flexible NetFlow
23 stycznia 2020
(K) Konfiguracja protokołu SNTP*
Konfiguracja protokołu SNTP
Podstawowa konfiguracja protokołu SNTP

Urządzenie z skonfigurowanym protokołem NTP domyślnie jest klientem oraz serwerem jednocześnie. Dzięki czemu może aktualizować swój czas systemowy z innymi bardziej zaufanymi urządzeniami np. zegarem atomowym jak i samemu odpowiadać na zapytania protokołu NTP od innych hostów w sieci. Aby skonfigurować jedynie rolę klienta należy użyć protokołu SNTP (Simplified Network Time Protocol).

SNTP nie może funkcjonować razem z protokołem NTP, ponieważ obydwa protokoły korzystają z tych samych portów L4.

(config)# sntp server {nazwa-hosta / adres-IP} prefer
Określa adres IP bądź nazwę domenową serwera SNTP (dodatkowa opcja „prefer” definiuje adres jako domyślny w przypadku skonfigurowania większej liczby serwerów SNTP).

(config)# sntp source-interface interfejs
Określa interfejs źródłowy, dla wysyłanych komunikatów SNTP.
Autentykacja protokołu SNTP

(config)# sntp authentication-key ID-klucza md5 klucz
Definiuje klucz z przypisanym numerem ID.

(config)# sntp authenticate
Aktywuje uwierzytelnianie serwerów SNTP.

(config)# sntp trusted-key ID-klucza
Określa zaufany klucz do uwierzytelniania serwerów SNTP.

(config)# sntp server {nazwa-hosta / adres-IP} key ID-klucza
Przypisuje klucz dla danego serwera SNTP.

Komendy Show

# show clock [detail]
Wyświetla czas oraz date lokalnego systemu (software). Dodatkowa komenda „detail” wyświetla źródło, z którego system pobierał informacje o czasie zegara.

# show calendar
Wyświetla czas oraz date lokalnego urządzenia (Hardware). Dodatkowa komenda „detail” wyświetla źródło, z którego system pobierał informacje o czasie zegara.

# show ntp associations
Wyświetla skonfigurowane serwery czasu. W przypadku klienta komunikat „unsynchronized” oznacza, że urządzenie nie pobiera jeszcze żadnych danych od serwera NTP. Natomiast w przypadku serwera „ntp master” ten komunikat będzie widoczny przez cały czas.

# show ntp status
Wyświetla status protokołu NTP na danym urządzeniu.

# show ntp config
Wyświetla konfiguracją protokołu NTP na danym urządzeniu.

# show ntp information
Wyświetla informacje dotyczące wersji protokołu NTP na danym urządzeniu.

# show ntp packets
Wyświetla ilość wysłanych / odebranych pakietów protokołu NTP na danym urządzeniu.

Pozostałe tematy związane z protokołem NTP
23 stycznia 2020
(K) Konfiguracja protokołu IP SLA*
Podstawowa konfiguracja protokołu IP SLA

Tworzenie reguły IP SLA (ICMP-ECHO)
```
W starszych wersjach systemu IOS komenda [ip sla …] była używana w postaci [ip sla monitor …].
```
Podstawowa konfiguracja protokołu IP SLA (icmp-echo)

(config)# ip sla SLA-ID
Tworzy nową instancję protokołu IP SLA.

(config-ip-sla)# icmp-echo {docelowa-nazwa-hosta / docelowy-adres-IP} [source-ip {źródłowa-nazwa-hosta / źródłowy-adres-IP} / source-interface źródłowy-interfejs]
Definiuje adres bądź nazwę urządzenia docelowego (IP SLA Responder) oraz opcjonalny źródłowy adres IP bądź nazwę urządzenia nadawczego (IP SLA Source).

(config-ip-sla-echo)# threshold 0-60000(5000)(milisekundy)
Określa czas po jakim protokół IP SLA stwierdzi przekroczenie maksymalnej wartości progu RTT (Wartość ta jest używana jako narządzie do badań statystycznych, dzięki którym administrator może określić czy dostawca ISP wywiązał się np. z jakości połączenia określonego w umowie).

(config-ip-sla-echo)# timeout 0-604800000(5000)(milisekundy)
Określa czas oczekiwania na odpowiedź ICMP.

(config-ip-sla-echo)# frequency 1-604800(60)(sekundy)
Określa częstotliwość wysyłania pakietów ICMP.

Rozszerzona konfiguracja protokołu IP SLA (ICMP-Echo)

(config-ip-sla-echo)# tos 0-255
Określa typ serwisu TOS (Type of Service).

(config-ip-sla-echo)# request-data-size 0-16384
Określa wielkość wysyłanych pakietów (ICMP).

(config-ip-sla-echo)# tag nazwa
Dodaje nazwę względem danej instancji protokołu IP SLA.

(config-ip-sla-echo)# owner opis
Określa właściciela danej instancji protokołu IP SLA (Opis).

Konfiguracja harmonogramu protokołu IP SLA

(config)# ip sla schedule SLA-ID life {0-2147483647(3600)(sekundy)(Czas życia danej instancji IP SLA) / forever} start-time {now / after hh:mm:ss(Czas pozostały do aktywacji) / hh:mm:ss dzień miesiąc(Konkretny moment aktywacji)}
Określa harmonogram pracy danej instancji IP SLA, z uwzględnieniem czasu rozpoczęcia oraz zakończenia pracy.

(config)# ip sla group schedule 1-2147483647(Numer grupy) SLA-ID-1, SLA-ID–n… schedule-period 1-604800(sekundy) life {0-2147483647(sekundy)(3600)(Czas życia danej instancji IP SLA) / forever} start-time {now / after hh:mm:ss(Czas pozostały do aktywacji) / hh:mm:ss dzień miesiąc(Konkretny moment aktywacji)}
Tworzy zbiorczy harmonogram pracy, wielu określonych instancji protokołu IP SLA.

Tworzenie reguły IP SLA (UDP-JITTER)

Podstawowa konfiguracja protokołu IP SLA (UDP-JITTER) „IP SLA Source”

(config)# ip sla SLA-ID
Tworzy nową instancję protokołu IP SLA.

(config-sla)# udp-jitter {docelowa-nazwa-hosta / docelowy-adres-IP} docelowy-port-UDP source-ip {źródłowa-nazwa-hosta / źródłowy-adres-IP} [opcje]
Definiuje adres bądź nazwę urządzenia docelowego (IP SLA Responder) oraz opcjonalny źródłowy adres IP bądź nazwę urządzenia nadawczego (IP SLA Source).
* source-port źródłowy-port-UDP – Określa źródłowy port UDP.
* num-packets 1-60000(10) – Określa, ile pakietów będzie wysyłanych podczas trwania jednej sesji.
* interval 4-60000(20)(milisekundy) – Określa opóźnienie w wysyłaniu pakietów.
* control {disable / enable}(enable) – Wyłącza / Włącza kontrole nad wysyłanymi pakietami.

Rozszerzona konfiguracja protokołu IP SLA (UDP-JITTER) „IP SLA Source”

(config-ip-sla-jitter)# frequency 1-604800(60)(sekundy)
Określa częstotliwość wysyłania wiadomości IP SLA.

(config-ip-sla-jitter)# timeout 0-604800000(milisekundy)
Określa maksymalny czas trwania operacji IP SLA.

(config-ip-sla-jitter)# threshold 0-60000(milisekundy)
Określa czas po jakim protokół IP SLA stwierdzi przekroczenie maksymalnego progu wartości RTT (Wartość ta jest używana jako narządzie do badań statystycznych, dzięki którym administrator może określić czy dostawca ISP wywiązał się np. z jakości połączenia określonego w umowie).

(config)# ip sla schedule SLA-ID life {0-2147483647(sekundy)(3600)(Czas życia danej instancji IP SLA) / forever} start-time {now / after hh:mm:ss(Czas pozostały do aktywacji) / hh:mm:ss dzień miesiąc(Konkretny moment aktywacji)}
Tworzy plan określający czas rozpoczęcia oraz trwania danej instancji IP SLA na urządzeniu.

Konfiguracja odbiorcy protokołu IP SLA „IP SLA Responder”

(config)# ip sla responder
Aktywuje funkcję „IP SLA responder” na konfigurowanym urządzeniu.

(config)# ip sla responder udp-echo ipaddress adres-IP port 1-65535
Określa adres IP jak i numer portu UDP na którym urządzenie będzie nasłuchiwało nadchodzących komunikatów IP SLA (Zaleca się użycie portu większego niż 1023).

Buforowanie jak i historia protokołu IP SLA
- Zagadnienia związane z przetrzymywaniem historii protokołu IP SLA:
  - Distribution Statistics – Przy każdorazowym starcie instancji protokołu IP SLA, powstaje nowa odrębna pula zwana (Bucket), zapisująca zdarzenia do momentu przepełnienia bądź zatrzymania danej instancji protokołu IP SLA.
Konfiguracja historii protokołu IP SLA

(config-ip-sla-echo)# history buckets-kept 1-60(15)
Ogranicza zapisywanie statystyk protokołu IP SLA, do określonej w komandzie liczby grup (Buckets).

(config-ip-sla-echo)# history filter {opcja}
Filtruje statystyki IP SLA trzymane w pamięci.
* all – Zapisuje wszystkie odpowiedzi protokołu IP SLA.
* failure – Zapisuje wszystkie negatywne odpowiedzi protokołu IP SLA.
* overThreshold – Zapisuje odpowiedzi których czas oczekiwania na odpowiedź, przekroczyły ustalony próg (Threshold).
* none – Nie zapisuje żadnych odpowiedzi protokołu IP SLA.

(config-ip-sla-echo)# history enhanced interval 1-3600 buckets 1-100(100)
Określa przedziały czasowe (Interval) po upływie których protokół IP SLA zakończy jedną pulę (Bucket) a rozpocznie nową. Wartość (Bucket) określa maksymalną liczbę puli jaka może być zapisana w pamięci. Po przekroczeniu tej wartości pule będą nadpisywane.

(config-ip-sla-echo)# history distributions-of-statistics-kept 1-20(1)
Określa maksymalną liczbę przetrzymywanych operacji protokołu IP SLA.

(config-ip-sla-echo)# history hours-of-statistics-kept 0-25(2)
Określa maksymalną liczbę godzin przez które statystyki protokołu IP SLA będą przetrzymywane w pamięci urządzenia.

Uwierzytelnianie protokołu IP SLA

Konfiguracja funkcji Key-Chain

(config)# key chain nazwa-key-chain
Tworzy nowy zestaw kluczy Key Chain.

(config-keychain)# key 0-2147483647(ID klucza)
Tworzy nowy klucz Key Chain.

(config-keychain-key)# key-string [0 / 7](0) klucz
Określa wartość klucza (Wymaga podania wartości zahaszowanej)

(config-keychain-key)# cryptographic-algorithm {hmac-sha-1 / hmac-sha-256 / hmac-sha-384 / hmac-sha-512 / md5}
Definiuje jaki algorytm haszujący będzie wykorzystywany podczas wymiany kluczy pomiędzy urządzeniami.

(config-keychain-key)# accept-lifetime local ([Czas początkowy] godzina(hh:mm:ss) miesiąc(nazwa angielska) dzień(1-31) rok(1993-2035)) {infinite / duration 1-2147483646(sekundy) / ([Czas końcowy] godzina(hh:mm:ss) miesiąc(nazwa angielska) dzień(1-31) rok(1993-2035)})
Definiuje okres czasu przez jaki dany klucz będzie używany do odbierania wiadomości (Jest to okres czasu podczas którego dany klucz pozostaje akceptowalny).

(config-keychain-key)# send-lifetime local ([Czas początkowy] godzina(hh:mm:ss) miesiąc(nazwa angielska) dzień(1-31) rok(1993-2035)) {infinite / duration 1-2147483646(sekundy) / ([Czas końcowy] godzina(hh:mm:ss) miesiąc(nazwa angielska) dzień(1-31) rok(1993-2035)})
Definiuje okres czasu przez jaki dany klucz będzie używany w wysyłanych wiadomościach (Czas ten powinien być krótszy od czasu „accept-lifetime”).

Przykładowa konfiguracja funkcji Key-Chain

(config)# key chain EIGRP
(config-keychain)# key 1
(config-keychain-key)# accept-lifetime local 01:00:00 april 1 2014 01:00:00 may 2 2014
(config-keychain-key)# send-lifetime local 01:00:00 april 1 2014 01:00:00 may 2 2014
(config-keychain-key)# key-string Cisco!2345
(config-keychain-key)# key 2
(config-keychain-key)# accept-lifetime local 01:00:00 may 1 2014 infinite
(config-keychain-key)# send-lifetime local 01:00:00 may 1 2014 infinite
(config-keychain-key)# key-string Cisco1234567
Przykładowa konfiguracja funkcji Key-Chain.

Konfiguracja autentykacji protokołu IP SLA

(config)# ip sla key-chain nazwa-key-chain
Przypisuje wskazany klucz Key-Chain do protokoły IP SLA.

Komendy SHOW

# show ip sla configuration [SLA-ID]
Wyświetla konfiguracje wszystkich instancji IP SLA na urządzeniu.

# show ip sla summary [SLA-ID]
Wyświetla podsumowanie wszystkich działających instancji IP SLA na urządzeniu.

# show ip sla statistics [SLA-ID]
Wyświetla statystyki operacji IP SLA na urządzeniu.

# show ip sla authentication
Wyświetla ustawienia autentykacji protokołu IP SLA.

# show ip sla application
Wyświetla globalne ustawienia protokołu IP SLA (W tym obsługiwane usługi IP SLA, ilość aktywnych i nieaktywnych instancji oraz wersje protokołu RTT).

# show ip sla responder
Wyświetla informacje o żródle nadchodzących zapytań protokołu IP SLA.

# show track [track-ID]
Wyświetla skonfigurowane obiekty śledzące.

Inne komendy protokołu IP SLA

# ip sla restart SLA-ID
Resetuje licznik otrzymanych i nieotrzymanych odpowiedzi na zapytanie ICMP.

Pozostałe tematy związane z protokołem IP SLA
18 stycznia 2020
(TK) Konfiguracja funkcji Auto IP SLA*
Wstęp teoretyczny
- Auto-measure groups – Zbiór szablonów protokołu IP SLA, połączonych z listą adresów IP urządzeń końcowych „IP SLA Responder”, mogących automatycznie dołączyć do konfigurowanej instancji protokołu IP SLA.
- Automatic registration – Docelowe urządzanie Cisco „IP SLA Responder”, rejestrujące się w bazie głównego urządzenia automatycznej instancji protokołu IP SLA, w celu rozpoczęcia prowadzenia pomiarów.
- Lista ograniczeń protokołu Auto IP SLA:
  - Jest obsługiwany jedynie przez protokół IP w wersji 4 (IPv4).
  - Odsługuje jedynie następujące operacje IP SLA:
    ICMP Echo.
    ICMP Jitter.
    TCP Connect.
    UDP Echo.
    UDP Jitter.
  - Domyślnie skonfigurowanym typem operacji Auto IP SLA jest ICMP Jitter.
```
Urządzenie „IP SLA Responder” nie powinno mieć skonfigurowanego stałego portu TCP/UDP dla swoich nadawców. Jeśli jednak zostanie skonfigurowane ze stałym portem TCP/UDP, to nawet jeśli pakiety zostaną pomyślnie wysyłane (brak problemów z Timeout-em bądź utratą pakietów), wartości jitter będzie równa zero (0).
```
Lista kroków konfiguracji protokołu Auto IP SLA
1. Konfiguracja listy urządzań końcowych.
2. Konfiguracja harmonogramu operacji IP SLA.
3. Konfiguracja operacji IP SLA (icmp-echo / icmp-jitter / tcp-connect / udp-echo / udp-jitter).
4. Konfiguracja grupy auto IP SLA.
Konfiguracja funkcji Auto IP SLA

Konfiguracja protokołu Auto IP SLA „IP SLA Source”

Konfiguracja listy urządzań końcowych

(config)# ip sla auto discovery
Tworzy nową automatyczną instancję protokołu IP SLA.

(config)# ip sla endpoint-list type ip nazwa-listy
Przechodzi do konfiguracji listy urządzań końcowych.

(config-epl)# description opis
Dodaje opis dla danej listy IP SLA.

(config-epl)# discover [port port-TCP / UDP(5000)]
Określa port TCP/UDP dla komunikacji z urządzeniami końcowymi.

(config-epl-disc)# access-list ACL-ID
Przypisuje listę ACL przechowującą adresy urządzań końcowych.

(config-epl-disc)# measurement-retry 0-65535
Określa liczbę wykonywanych prób przywrócenia połączenia, zanim operacja IP SLA zakończy się niepowodzeniem a urządzenie „IP SLA Responder” zostanie usunięte z bazy.

(config-epl-disc)# ageout 0-65535(sekundy)
Określa czas przez jaki urządzenia końcowe „IP SLA Responder” będą przetrzymywane w bazie, w sytuacji utraty połączenia.

Konfiguracja harmonogramu operacji IP SLA

(config)# ip sla auto schedule nazwa-harmonogramu
Przechodzi do poziomu konfiguracji harmonogramu IP SLA.

(config-am-schedule)# ageout 0-2073600(sekundy)
Określa wyłącznik czasowy dla nieaktywnych operacji.

(config-am-schedule)# frequency 1-604800(sekundy)
Określa częstotliwość pracy konfigurowanej operacji IP SLA.

(config-am-schedule)# life {0-2147483647 / forever}
Określa czas życia operacji IP SLA.

(config-am-schedule)# start-time {now / dokładna-data}
Określa czas rozpoczęcia operacji IP SLA.

Konfiguracja operacji IP SLA (icmp-echo / icmp-jitter / tcp-connect / udp-echo / udp-jitter)

(config)# ip sla auto template type ip {icmp-echo / icmp-jitter / tcp-connect / udp-echo / udp-jitter} nazwa-operacji
Przechodzi do poziomu konfiguracji operacji IP SLA.

(config-tplt-icmp-ech)# description opis
Dodaje opis konfigurowanej operacji IP SLA.

(config-tplt-icmp-ech)# source-ip {docelowa-nazwa-hosta / docelowy-adres-IP}
Określa źródłowy adres IP.

(config-tplt-icmp-ech)# threshold 0-60000(5000)(milisekundy)
Określa czas po jakim protokół IP SLA stwierdzi przekroczenie maksymalnej wartości progu RTT (Wartość ta jest używana jako narządzie do badań statystycznych, dzięki którym administrator może określić czy dostawca ISP wywiązał się np. z jakości połączenia określonego w umowie).

(config-tplt-icmp-ech)# timeout 0-604800000(5000)(milisekundy)
Określa czas oczekiwania na odpowiedź ICMP.

(config-tplt-icmp-ech)# tos 0-255
Określa typ serwisu TOS (Type of Service).

(config-tplt-icmp-ech)# request-data-size 0-16384
Określa wielkość wysyłanych pakietów (ICMP).

Konfiguracja grupy auto IP SLA

(config)# ip sla auto group type ip nazwa-grupy
Przechodzi do poziomu konfiguracji grupy IP SLA.

(config-am-group)# description opis
Dodaje opis konfigurowanej grupy IP SLA.

(config-am-group)# destination nazwa-listy
Przypisuje listę urządzeń końcowych.

(config-am-group)# template {icmp-echo / icmp-jitter / tcp-connect / udp-echo / udp-jitter} nazwa-operacji
Przypisuje wybraną operację protokołu IP SLA.

(config-am-group)# schedule nazwa-harmonogramu
Przypisuje harmonogram operacji IP SLA.

Podstawowa Konfiguracja protokołu Auto IP SLA „IP SLA Responder”

Konfiguracja odbiorcy protokołu IP SLA „IP SLA Responder”

(config)# ip sla responder auto-register {docelowa-nazwa-hosta / docelowy-adres-IP} [client-ID ID-klienta] [endpoint-list nazwa-listy] [retry-timer 1-1440(minuty)]
* client-ID – Unikalna wartość identyfikująca konfigurowane urządzenie „IP SLA Responder”.
* endpoint-list – Nazwa listy „Auto-measure groups”.

Komendy SHOW

# show ip sla auto discovery
Wyświetla urządzenia wykryte za pomocą funkcji auto wykrywania.

# show ip sla auto template type ip icmp-echo
Wyświetla konfiguracje operacji IP SLA.

# show ip sla auto group
Wyświetla konfigurację grup IP SLA.

# show ip sla summary
Wyświetla wszystkie skonfigurowane operacje IP SLA (W tym automatyczne).

Pozostałe tematy związane z protokołem IP SLA
14 stycznia 2020
(K) IP SLA konfiguracja funkcji Track*
Śledzenie stanu IP SLA

Podstawowa Konfiguracja obiektu Track

(config)# track track-ID {ip sla SLA-ID / interface interfejs line-protocol / interface interfejs ip routing} [reachability]
Definiuje pojedynczy obiekt śledzący jedną instancję protokołu IP SLA bądź status interfejsu czy protokołu routingu względem określonego interfejsu sieciowego.

(config-track)# delay up 0-180 [down 0-180(sekundy)]
Określa progi opóźnień czasowych. W przypadku ich przekroczenia instancja protokołu IP SLA zwróci błąd o nieosiągalności wyznaczonego celu.

Rozszerzona Konfiguracja obiektu Track

Konfiguracja grupy obiektów Track na podstawie aktywności obiektów

(config)# track track-ID list boolean {and / or}
Definiuje grupę obiektów:
* and – Potwierdza aktywność połączenia, jeśli wszystkie obiekty są aktywne.
* or – Potwierdza aktywność połączenia, jeśli chodź jeden z obiektów jest aktywny.

(config-track)# object track-ID [not]
Określą obiekt śledzony przez konfigurowaną grupę Track (Jedna komenda dodaje jeden obiekt). Dodatkowa pod komenda (not) neguje stan śledzonego obiektu (Up -> Down / Down -> Up).

(config-track)# delay up 0-180(sekundy) [down 0-180(sekundy)]
Określa progi opóźnień czasowych. W przypadku ich przekroczenia instancja protokołu IP SLA zwróci błąd o nieosiągalności wyznaczonego celu.

Konfiguracja grupy obiektów Track na podstawie progu uzyskanej wagi względem poszczególnych obiektów

(config)# track track-ID list threshold weight
Definiuje grupę obiektów:
* threshold – Określa aktywność grupy na podstawie progu.
* weight – Określa zsumowaną wartość wagi wszystkich obiektów danej grupy.

(config-track)# object track-ID [weight 1-255]
Określa wagę danego obiektu.

(config-track)# threshold weight {up 1-255 / [down 0-255]}
Określa wagowy próg aktywności dla konfigurowanej grupy obiektów Track. Wartość „Up” określa wagę jaką musi uzyskać dana grupa, aby posiadać status aktywny, natomiast „Down” określa wartość do jakiej musi spaść zsumowana waga wszystkich obiektów, aby grupa przestała być aktywna.

(config-track)# delay up 0-180(sekundy) [down 0-180(sekundy)]
Określa progi opóźnień czasowych. W przypadku ich przekroczenia instancja protokołu IP SLA zwróci błąd o nieosiągalności wyznaczonego celu.

Konfiguracja grupy obiektów Track na podstawie procentu aktywnych obiektów

(config)# track track-ID list threshold percentage
Definiuje grupę obiektów:
* threshold – Określa aktywność grupy na podstawie progu.
* percentage – Określa aktywność grupy na podstawie wagi.

(config-track)# object track-ID
Określą obiekt śledzony przez daną grupę.

(config-track)# threshold percentage {up 1-100 / [down 0-100]}
Określa procentowy próg aktywności dla konfigurowanej grupy obiektów Track. Wartość „Up” określa procent aktywnych obiektów jaki musi być uzyskany, aby grupa posiadała status aktywny, natomiast wartość „Down” określa procent do jakiego musi spaść liczba aktywnych obiektów, aby grupa przestała być aktywna.

(config-track)# delay up 0-180(sekundy) [down 0-180(sekundy)]
Określa progi opóźnień czasowych. W przypadku ich przekroczenia instancja protokołu IP SLA zwróci błąd o nieosiągalności wyznaczonego celu.

Inne opcje śledzenia Track

(onfig)# track track-ID ip route sieć/prefix reachability
Śledzi osiągalność wskazanej trasy routingu.

(config)# track track-ID interface interfejs line-protocol
Śledzi aktywność interfejsu na poziomue (Line-Protocol).

(config)# track track-ID interface interfejs ip routing
Śledzi, czy routing IP jest aktywny, czy adres IP został skonfigurowany na wskazanym interfejsie sieciowym oraz czy stan interfejsu jest aktywny (up/up).

Pozostałe tematy związane z protokołem IP SLA
14 stycznia 2020
(K) Cisco Smart Licensing*
# show license summary
Xxx

# show call-home
Xxx

# show call-home profile CiscoTAC-1
Xxx

# license boot level {ipbasek9 / ipservicesk9 / lanbasek9}
Xxx

# license smart url {default …
Xxx

# license smart register idtoken token-ID
Xxx

Pozostałe tematy związane z zarządzaniem systemem IOS
9 grudnia 2019
(K) Instalacja systemu IOS-XE*
Instalacja systemu IOS-XE

Wstęp teoretyczny do instalacji systemu IOS-XE

Bundle Mode VS Install / Package Mode
Weryfikacja obecnej instalacji

# show version
Wyświetla informacje o obecnie działającej wersji systemu IOS-XE.

# show boot
Wyświetla jaki obraz sytemu IOS-XE zostanie załadowany przy pomocy boot-loadera.

# show install active
Wyświetla informacje o aktualnie zainstalowanym systemie IOS-XE.

Instalowanie systemu IOS-XE

Weryfikacja obrazu IOS-XE

Proces pobierania systemu IOS-XE ostał opisany w następujących artykułach: SCP, FTP, TFTP.

# copy scp: flash:
Rozpoczyna proces pobierania wskazanego obrazu systemu IOS-XE.

# show flash:
Wyświetla zawartość pamięci Flash:.

Stara obecnie nie zalecana metoda (Bundle Mode)

# boot system switch all flash:nazwa-systemu-IOS
Wymusza uruchomienie wskazanego obrazu IOS-XE w momencie startu urządzenia.

# show boot
Wyświetla jaki obraz sytemu IOS-XE zostanie załadowany przy pomocy boot-loadera.

# boot system flash:packages.conf
Xxx

# more flash:packages.conf
Xxx

Nowa obecnie zalecana metoda (Install / Package Mode)

# request platform software package install switch all file flash:obraz-IOS-XE
Stara komenda aktywująca proces instalacji nowego systemu IOS-XE.

# install add file obraz-IOS-XE activate commit
Nowa komenda aktywująca proces instalacji nowego systemu IOS-XE.
activate – Wskazany system IOS-XE zostanie załadowany przy następnych uruchomieniu urządzenia.
commit – Wskazany system IOS-XE zostanie załadowany przy każdym następnym uruchomieniu urządzenia.

# show install active
Wyświetla informacje o aktualnie zainstalowanym systemie IOS-XE.

# show install summary
Xxx

# xxx
Xxx

(config)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# xxx
Xxx

(config-if)# xxx
Xxx

Pozostałe tematy związane z zarządzaniem systemem IOS
6 grudnia 2019
(K) Protokół SCP*

6 grudnia 2019
(K) Protokół TFTP*

6 grudnia 2019
(K) Protokół FTP*

6 grudnia 2019
(K) Zarządzanie zdalne HTTP / HTTPS^
Zarządzanie zdalne za pomocą protokołu HTTP / HTTPS

Konfiguracja HTTP / HTTPS

(config)# [no] ip http server
Wyłącza / Włącza funkcję zarządzania zdalnego za pomocą protokołu HTTP.

(config)# [no] ip http secure-server
Wyłącza / Włącza funkcję zarządzania zdalnego za pomocą protokołu HTTPS.

(config)# ip http secure-port 1025-65535(Port)(443)
Zmienia domyślny port TCP/UDP względem łączności zdalnej za pomocą protokołu HTTPS.

(config)# ip http authentication {local / enable / aaa}
Określa metodę uwierzytelniania połączenia zdalnego.
* local – Rozpoczyna uwierzytelnianie połączenia zdalnego za pomocą konta lokalnego.
* enable – Rozpoczyna uwierzytelnianie połączenia zdalnego za pomocą hasła do trybu uprzywilejowanego.
* aaa – Rozpoczyna uwierzytelnianie połączenia zdalnego za pomocą zdalnego serwera AAA.

Komendy SHOW

# show ip http status
Wyświetla konfigurację zarządzania zdalnego HTTP.

# show ip http secure status
Wyświetla konfigurację zarządzania zdalnego HTTPS.

# show ip http history
Wyświetla historie połączeń z lokalnym serwerem HTTP/HTTPS.

# show ip http statistics
Wyświetla statystyki lokalnego serwera HTTP/HTTPS.

# show ip http all
Wyświetla wszystkie informację o lokalnym serwerze HTTP/HTTPS.

Pozostałe tematy związane z zarządzaniem systemem IOS
28 listopada 2019
(K) Zarządzanie zdalne SSH^
Konfiguracja linii zdalnej (SSH)

Tworzenie użytkowników lokalnych

(config)# username login [privilege 0-15] [algorithm-type {md5 / sha256 / scrypt}] secret hasło
Tworzy nowe konto użytkownika lokalnego, z przypisanym hasłem zabezpieczonym za pomocą wskazanego algorytmu haszującego (opcjonalna komenda “privilege” określa poziom dostępu do systemu Cisco IOS).

(config)# username login [nopassword / noescape / autocommand komenda-CLI / one-time / nohangup]*
Określa opcjonalne właściwości nowo stworzonego konta:
* nopassword – Tworzy użytkownika bez hasła.
* noescape – Blokuje wykonanie znaków „escape”.
* autocommand – Automatycznie po zalogowaniu wykonuje wskazaną komendę, a następnie kończy sesję.
* one-time – Tworzy konto jednorazowego użytku.
* nohangup – Nie rozłącza sesji po wykonaniu komendy „autocommand”.
Połączenie zdalne SSH

Skonfigurowane hasło „enable secret” oraz „enable password” współistnieje z logowaniem za pomocą protokołu SSH.

Do wygenerowania klucza SSH potrzebna jest nazwa FQDN (Fully qualified domain name), która jest tworzona na podstawie nazwy urządzenia „hostname” oraz nazwy domeny „ip domain name”.

(config)# hostname nazwa-urządzenia
Zmienia nazwę urządzenia (Opcja wymagana przy generowaniu klucza SSH).

(config)# ip domain-name nazwa-domeny
Zmienia nazwę domeny (Opcja wymagana przy generowaniu klucza SSH).

(config)# username login [algorithm-type {md5 / sha256 / scrypt}] [privilege 0-15] secret hasło
Tworzy nowe konto użytkownika lokalnego, z przypisanym hasłem zabezpieczonym za pomocą wskazanego algorytmu haszującego (opcjonalna komenda “privilege” określa poziom dostępu do systemu Cisco IOS).

(config)# crypto key generate rsa {usage-keys modulus 360-4096 / ENTER 360-4069}
Generuje klucz rsa, o długości od 360 do 4096 bitów (Aby aktywować protokół SSH w wersji drugiej, należy wygenerować klucz RSA o minimalnej długość 1024 bitów).

(config)# ip ssh version 2
Zmienia wykorzystywaną wersję protokołu SSH, na wersję drugą.

(config)# line vty 0-924 4-924(Zakres konfigurowanych linii VTY)
Przechodzi do poziomu konfiguracji linii zdalnej.

(config-line)# transport input ssh
Aktywuje protokół SSH na linii zdalnej.

(config-line)# login local
Umożliwia logowanie do linii zdalnej za pomocą lokalnej bazy użytkowników.

Opcjonalna metoda generowania kodu RSA

(config)# crypto key generate rsa usage-keys label nazwa-klucza modulus 360-4096
Generuje klucz RSA pod określoną nazwą.

(config)# ip ssh rsa keypair-name nazwa-klucza
Przypisuje klucz RSA do protokołu SSH.

Zaawansowana konfiguracja SSH

(config)# ip ssh source-interface interfejs
Określa źródłowy interfejs sieciowy względem komunikacji SSH.

(config)# ip ssh logging events
Rozpoczyna wysyłane logging-ów, informujących o wydarzeniach związanych z protokołem SSH.

(config)# ip ssh authentication-retries 0-5

(config)# ip ssh stricthostkeycheck
Opcjonalna konfiguracja linii zdalnej (SSH)
Ustawienia linii VTY

Po zalogowaniu się do systemu Cisco IOS za pomocą połączenia konsolowego, system zostanie załadowany z poziomu User Mode. Tymczasem w przypadku logowania za pomocą połączenia zdalnego SSH bądź telnet, system zostanie załadowany z poziomu uprzywilejowanego Enable Mode.

(config)# line vty 0-924 4-924(Zakres konfigurowanych linii VTY)
Przechodzi do poziomu konfiguracji linii zdalnej.

(config-line)# exec-timeout 0-35791(Minuty) 0-2147483(Sekundy)
Ustawia limit czasu, przez jaki połączenie zdalne VTY, pozostanie aktywne w przypadku bezczynności użytkownika (Wartość 0 oznacza czas nieskończony).

(config-line)# logging synchronous
Synchronizuje funkcję wyświetlania loginów systemowych z poziomu CLI.

(config-line)# history size 0-256
Określa ilość komend CLI zapisywanych w pamięci urządzenia (Komend wykorzystanych przez użytkownika).

# terminal history size 0-256
Określa ilość komend CLI zapisywanych w pamięci urządzenia (Komend CLI wykorzystanych przez użytkownika).

# show history
Wyświetla zawartość historii wykonanych komend.
Konfiguracja dodatkowych metod zabezpieczania linii dostępowych
Zdefiniowanie zasad bezpieczeństwa dotyczących haseł jak i metod uwierzytelniania hasłem

(config)# security passwords min-length 0-16
Określa minimalną długość hasła.

(config)# login on-success [{log / trap}] [every 1-65535]
Aktywuje funkcję monitorowania procesu logowania do systemu ISO, informując o pozytywnym jego zakończeniu. Pod-komenda „log” zapisuje w pamięci urządzenia jak i wyświetla na konsoli CLI, potwierdzenie o zalogowaniu się użytkownika, „trap” generuje wiadomość protokołu SNMP natomiast komenda „etery” określa częstotliwość w wysyłaniu powiadomień.

(config)# login on-failure [{log / trap}] [every 1-65535]
Aktywuje funkcję monitorowania procesu logowania do systemu ISO, informując o negatywnym jego zakończeniu. Pod-komenda „log” zapisuje w pamięci urządzenia jak i wyświetla na konsoli CLI, potwierdzenie o zalogowaniu się użytkownika, „trap” generuje wiadomość protokołu SNMP natomiast komenda „etery” określa częstotliwość w wysyłaniu powiadomień.

(config)# login block-for 1-65535(sekundy) attempts 1-65535(Próby) within 1-65535(sekundy)
Określa trzy wartości zabezpieczające przed próbą złamania hasła: Czas blokady, ilość prób logowania oraz Czas logowania. Przykładowa komenda wygląda następująco [login block-for 180 attempts 3 within 120] a oznacza, że jeśli w ciągu 120 sekund użytkownik poda 3 razy błędne hasło, konsola zostanie zablokowana na 180 sekund.

W celu zablokowania dostępu do konsoli CLI, po wystąpieniu określonej w komendzie ilości błędnych logowań. System Cisco IOS stworzy nową listę ACL "sl_def_acl". Która to zawiera następujące wpisy: Extended IP access list sl_def_acl 10 deny tcp any any eq telnet log 20 deny tcp any any eq www log 30 deny tcp any any eq 22 log 40 permit ip any any log

(config)# login quiet-mode access-class ACL-ID
Umożliwia zmianę domyślnie tworzonej listy ACL (sl_def_acl), na inną stworzoną przez administratora.

(config)# login delay 1-10(sekundy)
Określa czas opóźnienia pomiędzy kolejnymi próbami logowania do systemu (Niezależnie od tego czy próba logowania była udana czy nie).

# show login
Wyświetla konfigurację ustawień logowania do systemu Cisco IOS.

Komendy [login block-for], [login quiet-mode] oraz [login delay] dotyczą jedynie połączeń zdalnych VTY.
Ograniczenie dostępu do linii VTY za pomocą listy ACL

Konfiguracja list ACL została opisana w artykule: Konfiguracja List ACL.

(config)# ip access-list standard ACL-ID
Tworzy nową podstawową listę ACL.

(config-std-nacl)# remark opis
Dodaje komentarz administratora, do konfigurowanej listy ACL (Do jednej listy ACL może zostać dodana dowolna liczbą komentarzy, będą one wyświetlane zgodnie z kolejnością wpisywania, wraz z właściwymi wpisami wpisami ACL).

(config-std-nacl)# permit sieć maska
Określa grupę adresów IP, jaka zostanie dopuszczona do zdalnego zarządzania systemem Cisco IOS.

(config)# line vty 0-924 4-924(Zakres konfigurowanych linii VTY)
Przechodzi do poziomu konfiguracji linii zdalnej VTY.

(config-line)# access-class ACL-ID in
Przypisuje listę ACL, do konfigurowanej linii VTY.

(config-line)# ipv6 access-class Nazwa-ACL in
Przypisuje listę ACL (Względem protokołu IPv6), do konfigurowanej linii VTY.
Zmiana domyślnego portu w komunikacji SSH

(config)# ip ssh port 2000-10000(Numer portu)(22) rotary 1-127(Dolny zakres) 1-127(Górny zakres)
Określa port warstwy czwartej modelu OSI, na którym będzie prowadzona komunikacja protokołu SSH.

Komenda [ip ssh port] nie blokuje komunikacji protokołu SSH na domyślnym porcie 22. Aby zablokować port domyślny należy stworzyć listę dostępu ACL, blokująca cały nadchodzący ruch sieciowy na wskazanym porcie warstwy czwartej (22).

Konfiguracja list ACL została opisana w artykule: Konfiguracja List ACL.

(config)# access-list ACL-ID permit tcp any any eq 2000-10000(Numer portu)
Tworzy listę ACL, przepuszczającą jedynie ruch kierowany na nowo zdefiniowany port TCP, dzięki czemu sesje SSH nadchodzące z domyślnego portu (22) zostaną zablokowane.

(config)# line vty 0-924 4-924(Zakres konfigurowanych linii VTY)
Przechodzi do poziomu konfiguracji linii zdalnej.

(config-line)# transport input ssh
Aktywuje protokół SSH na linii zdalnej.

(config-line)# rotary 1-127
Przypisuje określony w komendzie [ip ssh port] port TCP do linii VTY.

(config-line)# access-list ACL-ID in
Przypisuje listę ACL (Filtrującą domyślny ruch na porcie 22) do linii VTY.

# show ip ssh
Wyświetla informacje dotyczące konfiguracji protokołu SSH, w tym wygenerowany klucz RSA.

# show ssh
Wyświetla aktywne sesje protokołu SSH.
Klient protokołu SSH w systemie IOS

# ssh -l login adres-IP
Nawiązuje połączenie SSH, z określonym urządzeniem (IP), przy pomocy wskazanego w komendzie loginu.

# show ssh
Wyświetla aktywne sesje protokołu SSH.

Wysyłanie wiadomości

# send vty [numer-VTY / * ]
Wysyła wiadomość na określoną linie VTY / wszystkie aktywne linie VTY.
* CTRL/Z –Wysyła wiadomość napisaną przez administratora.
* CTRL/C –Usuwa wiadomość napisaną przez administratora.

Komendy Show, Clear

Komendy Show

# show users
Wyświetla użytkowników zalogowanych do systemu Cisco IOS.

# show terminal
Wyświetla ustawienia konsoli [exec-timeout / terminal history size].

# show privilege
Wyświetla poziom dostępu, obecnie zalogowanego użytkownika.

# show login
Wyświetla informacje o zasadach bezpiecznego uwierzytelniania użytkowników [ACL].

# show crypto key mypubkey rsa
Wyświetla wygenerowane klucze RSA.

Komendy SHOW SSH

# show ip ssh
Wyświetla informacje dotyczące konfiguracji protokołu SSH, w tym wygenerowany klucz RSA.

# show ssh
Wyświetla aktywne sesje protokołu SSH.

# show line
Wyświetla linie VTY.

# show crypto key mypubkey rsa
Wyświetla wygenerowane klucze RSA.

Komendy CLEAR

# clear line vty 0-15
Czyści określoną linie VTY z sesji zdalnych.

Pozostałe tematy związane z zarządzaniem systemem IOS
28 listopada 2019

Kategoria: Zarządzanie siecią

Przykładowa konfiguracja protokołu SNMP

Konfiguracja …

Konfiguracja protokołu SNMP bez zabezpieczeń

Konfiguracja protokołu SNMP z podstawowymi zabezpieczeniami

Konfiguracja protokołu SNMP z pełnym zabezpieczeniem komunikacji

Pozostałe tematy związane z protokołem SNMP

Wprowadzenie do protokołu SNMP

Podstawowe zagadnienia dotyczące protokołu SNMP

Proces wymiany danych pomiędzy agentem a menadżerem SNMP

Wiadomości wykorzystywane przez protokół SNMP

Zabezpieczanie protokołu SNMP

Porównanie wiadomości Get, Trap & Set, Inform

MIB – Management Information Base

Struktura bazy MIB

Znaczenie przykładowej wartości OID

Wersje protokołu SNMP

Protokół SNMP w wersji trzeciej

Protokół SNMPv3

Struktura komend wykorzystywana w konfiguracji protokołu SNMPv3

Różnice pomiędzy poszczególnymi wersjami protokołu SNMP

Pozostałe tematy związane z protokołem SNMP

Konfiguracja protokołu SNMPv1 oraz SNMPv2c

Konfiguracja protokołu SNMPv1 oraz protokołu SNMPv2c

Konfiguracja wiadomości Trap / Inform

Komendy SHOW

Konfiguracja protokołu SNMPv3

Proces konfiguracji protokołu SNMPv3

Konfiguracja protokołu SNMPv3

Konfiguracja widoku SNMP

Podstawowa Konfiguracja protokołu SNMPv3

Konfiguracja wiadomości Trap / Inform

Komendy SHOW

Pozostałe tematy związane z protokołem SNMP

Local SPAN & Remote SPAN

Konfiguracja funkcji SPAN

Opcjonalna konfiguracja funkcji SPAN:

Konfiguracja funkcji RSPAN

Etap pierwszy – Konfiguracja sesji źródłowej

Etap drugi – Konfiguracja sesji docelowej

Dodatkowa konfiguracja funkcji RSPAN

Encapsulated Remote SPAN

Konfiguracja funkcji ERSPAN

Etap pierwszy – Konfiguracja sesji źródłowej

Etap drugi – Konfiguracja sesji docelowej

Usuwanie sesji SPAN & RSPAN

Export ???

Komendy Show

Pozostałe tematy związane z protokołem SPAN

Wykorzystanie interfejsów sieciowych

Funkcję portu źródłowego (Source Port) mogą pełnić

Funkcję portu źródłowego (Source Port) nie mogą pełnić

Funkcję portu docelowego (Destination Port) może pełnić

Funkcję portu docelowego (Destination Port) nie może pełnić

Local SPAN & Remote SPAN

Funkcja SPAN & RSPAN zabrania

Pytania i odpowiedzi

Pozostałe tematy związane z protokołem SPAN

Local SPAN & Remote SPAN

Nazewnictwo wykorzystywane przez funkcję SPAN & RSPAN

SPAN – Switch Port Analyzer

RSPAN – Remote Switch Port Analyzer

Cechy wspólne funkcji SPAN & RSPAN

Pozostałe tematy związane z protokołem SPAN

Konfiguracja protokołu NetFlow

Podstawowa konfiguracja funkcji NetFlow

Konfiguracja funkcji Flow Sampler

Komendy SHOW

Pozostałe tematy związane z Flexible NetFlow

Konfiguracja protokołu SNTP

Podstawowa konfiguracja protokołu SNTP

Autentykacja protokołu SNTP

Komendy Show

Pozostałe tematy związane z protokołem NTP

Podstawowa konfiguracja protokołu IP SLA

Tworzenie reguły IP SLA (ICMP-ECHO)

Podstawowa konfiguracja protokołu IP SLA (icmp-echo)

Rozszerzona konfiguracja protokołu IP SLA (ICMP-Echo)

Konfiguracja harmonogramu protokołu IP SLA

Tworzenie reguły IP SLA (UDP-JITTER)