Лаб8
.docxМИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,
СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
Факультет Инфокоммуникационных сетей и систем
Кафедра Защищенных систем связи
Дисциплина Основы маршрутизации в компьютерных сетях
ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №8
Направление/специальность подготовки
10.03.01 Информационная безопасность
(код и наименование направления/специальности)
Выполнили:
Травкина Е.А., ИКБ-14
(Ф.И.О., № группы) (подпись)
Федченко А.С., ИКБ-14
(Ф.И.О., № группы) (подпись)
Мельцин Л.М., ИКБ-14
(Ф.И.О., № группы) (подпись)
Преподаватель:
доц. Беккель Л.С.
(Ф.И.О., № группы) (подпись)
8.1.1 Настройка SNMP.
1. Настройка SNMP.
Цель задачи:
- Настроить на маршрутизаторе Агента snmp со следующими параметрами;
- Создать пользователя для snmp;
- Указать права на чтение/чтение-запись;
- Указать алгоритм шифрования и аутентификации;
- Задать ключи аутентификации и приватный ключ.
Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.
R1# config
R1(config)#
Шаг 2. Включим snmp-server на маршрутизаторе.
R1(config)# snmp-server
Шаг 3. Создадим пользователя под именем admin для нашего snmp-server.
R1(config)# snmp-server user admin
R1(config-snmp-user)#
Шаг 4. Укажем права на чтение-запись OID-ов:
R1(config-snmp-user)# access rw
Шаг 5. Зададим алгоритм аутентификации sha1:
R1(config-snmp-user)# authentication algorithm sha1
Шаг 6. Установим конфиденциальность этого пользователя:
R1(config-snmp-user)# authentication access priv
Шаг 7. Настроить ключ аутентификации пользователя adminpass:
R1(config-snmp-user)# authentication key ascii-text adminpass
Шаг 8. Выберем алгоритм конфиденциальности пользователя admin:
R1(config-snmp-user)# privacy algorithm aes128
Шаг 9. Настроим ключ конфиденциальности пользователя adminpass:
R1(config-snmp-user)# privacy key ascii-text adminpass
Шаг 10. Включить настроенного нами пользователя:
R1(config-snmp-user)# enable
R1(config-snmp-user)# exit
Шаг 11. Определяем менеджера (сервер-приемник Trap-PDU-сообщений):
R1(config)# snmp-server host 192.168.81.41
R1(config)# exit
Шаг 12. Сохраняем и применяем конфигурацию.
R1# commit
R1# confirm
8.2.1 Настройка syslog.
1. Настройка syslog.
Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.
R1# config
R1(config)#
Шаг 2. Создаем файл с именем ESR_CRIT на маршрутизаторе для системного журнала:
R1(config)# syslog file flash:syslog/ESR_CRIT
R1(config-syslog-file)#
Шаг 3. В режиме конфигурирования syslog-файла укажем уровень важности, начиная с которого фиксировать события в ПЗУ, в нашем случае с уровня crit и важнее:
R1(config-syslog-file)# severity crit
R1(config-syslog-file)# exit
Шаг 4. Подобным образом настроим настроим в ОЗУ, создадим файл ESR_INFO, куда будет записываться события начиная с уровня info:
R1(config)# syslog file tmpsys:syslog/ESR_INFO info
Шаг 5. Установим максимальный размер файла 10 Мб:
R1(config)# syslog file-size 10000
Шаг 6. Установим максимальное количество syslog-файлов 5 шт:
R1(config)# syslog max-files 5
Шаг 7. Переходим в режим настройки syslog-сервера, где указываем IP-адрес с которого будем подключаться к серверу, IP-адрес syslog-сервера, транспортный протокол и номер порта для подключения к syslog-серверу:
R1(config)# syslog host SERVER 10.0.1.1 source-address 192.168.0.1
R1(config)# syslog host SERVER 10.0.1.1 udp 514
Шаг 5. Задаем логирование неудачных попыток аутентификации:
R1(config)# logging login on-failure
Шаг 6. Задаем логирование изменений конфигурации syslog:
R1(config)# logging syslog configuration
Шаг 7. Задаем логирование старта/остановки системных процессов:
R1(config)# logging service start-stop
Шаг 8. Задаем логирование внесений изменений в профиль пользователей:
R1(config)# logging userinfo
Шаг 9. Установить уровень логирования в интерфейс командной строки при
подключению по консольному кабелю, начиная с уровня важности warning.
R1(config)# syslog console warning
Шаг 10. Установить уровень логирования при подключении по TELNET или SSH, начиная с уровня важности warning.
R1(config)# syslog monitor warning
Шаг 11. Создадим список портов для syslog.
R1(config)# object-group service SYSLOG_PORT
R1(config-object-group-service)# port-range 514
R1(config-object-group-service)# exit
Шаг 12. Настроим правила взаимодействия между зонами безопасности.
R1(config)# security zone-pair LAN self
R1(config-zone-pair)# rule 110
R1(config-zone-pair-rule)# action permit
R1(config-zone-pair-rule)# match protocol udp
R1(config-zone-pair-rule)# match destination-port SYSLOG_PORT
R1(config-zone-pair-rule)# enable
R1(config-zone-pair-rule)# exit
Шаг 13. Применим и подтвердим настроенную конфигурацию.
R1# commit
R1# confirm
Шаг 14. Проверим конфигурацию командами show (см. рис. ).
Рис. 1. Команда show syslog
Рис. 2. Команда show syslog configuration
8.3.1 Настройка Eltex IP SLA.
1. Настройка Eltex IP SLA.
Примечание. В настройку также входит синхронизация по NTP, указание часового пояса, IP-связность и маршрутизация. Всё это мы настраивали в предыдущих лабораторных работах, поэтому не дублируем настройку в этой работе.
Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.
R1# config
R1(config)#
Шаг 2. Создадим SLA-тест с идентификатором 821.
R1(config)# ip sla test 821
R1(config-sla-test)#
Шаг 3. Зададим ICMP-режим тестирования канала связи и параметры тестирования: на IP-адрес назначения (Responder) 192.168.0.2 и порт назначения тестовых пакетов 50000, IP-адрес источника (Sender) 192.168.0.1, количество тестовых пакетов, отправляемых в рамках теста 50, интервал отправки между тестовыми пакетами 15 мсек:
R1(config-sla-test)# icmp-echo 192.168.0.2 source-ip 192.168.0.1 num-packets 50 interval 15
Шаг 4. Указать количество тестов, по которым будет рассчитываться статистика:
R1(config-sla-test)# history 10
Шаг 5. Указать время жизни пакета:
R1(config-sla-test)# ttl 15
Шаг 6. Указать размер каждого пакета 1 Мбайт:
R1(config-sla-test)# packet-size 1024
Шаг 7. Указать значение DSCP:
R1(config-sla-test)# dscp 56
Шаг 8. Активируем тест SLA-тест с идентификатором 831.
R1(config-sla-test)# enable
R1(config-sla-test)# exit
Шаг 9. Создадим график выполнение теста.
R1(config)# ip sla schedule 821 start-time now life forever
Шаг 10. Настроим логирование событий, начиная с уровня error:
R1(config)# ip sla logging level error
Шаг 16. Запустим тест.
R1(config)# ip sla
Шаг 17. В режиме настройки теста установим ключ аутентификации sha-256 и пароль для аунтификации:
R1(config)# ip sla test 821
R1(config-sla-test)# control-phase authentication algoritm sha-256
R1(config-sla-test)# control-phase authentication key-string ascii-text SLA_test_KEY
Шаг 18. Создадим список портов для syslog.
R1(config)# object-group service IP_SLA_PORT
R1(config-object-group-service)# port-range 50000
R1(config-object-group-service)# exit
Шаг 19. Настроим правила взаимодействия между зонами безопасности.
R1(config)# security zone-pair LAN self
R1(config-zone-pair)# rule 120
R1(config-zone-pair-rule)# action permit
R1(config-zone-pair-rule)# match protocol udp
R1(config-zone-pair-rule)# match destination-port IP_SLA_PORT
R1(config-zone-pair-rule)# enable
R1(config-zone-pair-rule)# exit
Шаг 20. Применим и подтвердим настроенную конфигурацию.
R1# commit
R1# confirm
Шаг 21. Проверим конфигурацию командами show (см. рис. ).
Рис. 3. Команда show ip sla test statistics 821
Рис. 4. Команда show ip sla test configuration
Рис. 5. Команда show ip sla configuration
8.4.1 Настройка NetFlow.
1. Настройка NetFlow.
Цель задачи:
1) Организовать настройку Сенсора на маршрутизаторе ESR для учета трафика с интерфейса gi1/0/1 для передачи на сервер через интерфейс gi1/0/8 для обработки на коллектор.
2) Изменить порт Netflow-сервиса на сервере сбора статистики на 9555
3) Установить версию протокола 9
4) Ограничить максимальное количество наблюдаемых сессий до 256 000
5) Задать интервал, по истечении которого информация об устаревших сессиях экспортируются на коллектор 10 секунд.
6) Настроить частоту отправки статистики на коллектор каждый 50 пакет.
7) Проверить настройку NetFlow
Решение:
Предварительно необходимо выполнить следующие действия:
На интерфейсах gi1/0/1, gi1/0/8 отключить firewall командой «ip firewall disable». Назначить IP-адреса на портах.
Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.
R1# config
R1(config)#
Шаг 2. Укажем IP-адрес коллектора:
R1(config)# netflow collector 10.0.1.1
Шаг 3. Установим порт Netflow-сервиса на сервере сбора статистики.
R1(config-netflow-host)# port 9555
R1(config-netflow-host)# exit
Шаг 4. Включим сбор экспорта статистики netflow на сетевом интерфейсе gi1/0/1:
R1(config)# interface gigabitethernet 1/0/1
R1(config-if-gi)# ip netflow export
R1(config-if-gi)# exit
Шаг 5. Зададим версию Netflow-протокола.
R1(config)# netflow version 9
Шаг 6. Установить максимальное количество наблюдаемых сессий.
R1(config)# netflow max-flows 256000
Шаг 7. Установить интервал, по истечении которого информация об устаревших сессиях экспортируются на коллектор.
R1(config)# netflow inactive-timeout 10
Шаг 8. Установить частоту отправки статистики на Netflow-коллектор.
R1(config)# netflow refresh-rate 50
Шаг 9. Активируем netflow на маршрутизаторе:
R1(config)# netflow enable
Шаг 10. Для просмотра статистики Netflow используется команда (см. рис. ):
Рис. 6. Команда show netflow statistics
Вывод
В ходе выполнения лабораторной работы №8 был произведён мониторинг и выполнена диагностика. Произведена настройка SNMP, настройка syslog, Eltex IP SLA и настройка NetFlow.
Санкт-Петербург
2023