МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,

СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ

УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»

(СПбГУТ)

Факультет Инфокоммуникационных сетей и систем

Кафедра Защищенных систем связи

Дисциплина Основы маршрутизации в компьютерных сетях

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №8

Направление/специальность подготовки

10.03.01 Информационная безопасность

(код и наименование направления/специальности)

Выполнили:

Травкина Е.А., ИКБ-14

(Ф.И.О., № группы) (подпись)

Федченко А.С., ИКБ-14

(Ф.И.О., № группы) (подпись)

Мельцин Л.М., ИКБ-14

(Ф.И.О., № группы) (подпись)

Преподаватель:

доц. Беккель Л.С.

(Ф.И.О., № группы) (подпись)

8.1.1 Настройка SNMP.

1. Настройка SNMP.

Цель задачи:

- Настроить на маршрутизаторе Агента snmp со следующими параметрами;

- Создать пользователя для snmp;

- Указать права на чтение/чтение-запись;

- Указать алгоритм шифрования и аутентификации;

- Задать ключи аутентификации и приватный ключ.

Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.

R1# config

R1(config)#

Шаг 2. Включим snmp-server на маршрутизаторе.

R1(config)# snmp-server

Шаг 3. Создадим пользователя под именем admin для нашего snmp-server.

R1(config)# snmp-server user admin

R1(config-snmp-user)#

Шаг 4. Укажем права на чтение-запись OID-ов:

R1(config-snmp-user)# access rw

Шаг 5. Зададим алгоритм аутентификации sha1:

R1(config-snmp-user)# authentication algorithm sha1

Шаг 6. Установим конфиденциальность этого пользователя:

R1(config-snmp-user)# authentication access priv

Шаг 7. Настроить ключ аутентификации пользователя adminpass:

R1(config-snmp-user)# authentication key ascii-text adminpass

Шаг 8. Выберем алгоритм конфиденциальности пользователя admin:

R1(config-snmp-user)# privacy algorithm aes128

Шаг 9. Настроим ключ конфиденциальности пользователя adminpass:

R1(config-snmp-user)# privacy key ascii-text adminpass

Шаг 10. Включить настроенного нами пользователя:

R1(config-snmp-user)# enable

R1(config-snmp-user)# exit

Шаг 11. Определяем менеджера (сервер-приемник Trap-PDU-сообщений):

R1(config)# snmp-server host 192.168.81.41

R1(config)# exit

Шаг 12. Сохраняем и применяем конфигурацию.

R1# commit

R1# confirm

8.2.1 Настройка syslog.

1. Настройка syslog.

Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.

R1# config

R1(config)#

Шаг 2. Создаем файл с именем ESR_CRIT на маршрутизаторе для системного журнала:

R1(config)# syslog file flash:syslog/ESR_CRIT

R1(config-syslog-file)#

Шаг 3. В режиме конфигурирования syslog-файла укажем уровень важности, начиная с которого фиксировать события в ПЗУ, в нашем случае с уровня crit и важнее:

R1(config-syslog-file)# severity crit

R1(config-syslog-file)# exit

Шаг 4. Подобным образом настроим настроим в ОЗУ, создадим файл ESR_INFO, куда будет записываться события начиная с уровня info:

R1(config)# syslog file tmpsys:syslog/ESR_INFO info

Шаг 5. Установим максимальный размер файла 10 Мб:

R1(config)# syslog file-size 10000

Шаг 6. Установим максимальное количество syslog-файлов 5 шт:

R1(config)# syslog max-files 5

Шаг 7. Переходим в режим настройки syslog-сервера, где указываем IP-адрес с которого будем подключаться к серверу, IP-адрес syslog-сервера, транспортный протокол и номер порта для подключения к syslog-серверу:

R1(config)# syslog host SERVER 10.0.1.1 source-address 192.168.0.1

R1(config)# syslog host SERVER 10.0.1.1 udp 514

Шаг 5. Задаем логирование неудачных попыток аутентификации:

R1(config)# logging login on-failure

Шаг 6. Задаем логирование изменений конфигурации syslog:

R1(config)# logging syslog configuration

Шаг 7. Задаем логирование старта/остановки системных процессов:

R1(config)# logging service start-stop

Шаг 8. Задаем логирование внесений изменений в профиль пользователей:

R1(config)# logging userinfo

Шаг 9. Установить уровень логирования в интерфейс командной строки при

подключению по консольному кабелю, начиная с уровня важности warning.

R1(config)# syslog console warning

Шаг 10. Установить уровень логирования при подключении по TELNET или SSH, начиная с уровня важности warning.

R1(config)# syslog monitor warning

Шаг 11. Создадим список портов для syslog.

R1(config)# object-group service SYSLOG_PORT

R1(config-object-group-service)# port-range 514

R1(config-object-group-service)# exit

Шаг 12. Настроим правила взаимодействия между зонами безопасности.

R1(config)# security zone-pair LAN self

R1(config-zone-pair)# rule 110

R1(config-zone-pair-rule)# action permit

R1(config-zone-pair-rule)# match protocol udp

R1(config-zone-pair-rule)# match destination-port SYSLOG_PORT

R1(config-zone-pair-rule)# enable

R1(config-zone-pair-rule)# exit

Шаг 13. Применим и подтвердим настроенную конфигурацию.

R1# commit

R1# confirm

Шаг 14. Проверим конфигурацию командами show (см. рис. ).

Рис. 1. Команда show syslog

Рис. 2. Команда show syslog configuration

8.3.1 Настройка Eltex IP SLA.

1. Настройка Eltex IP SLA.

Примечание. В настройку также входит синхронизация по NTP, указание часового пояса, IP-связность и маршрутизация. Всё это мы настраивали в предыдущих лабораторных работах, поэтому не дублируем настройку в этой работе.

Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.

R1# config

R1(config)#

Шаг 2. Создадим SLA-тест с идентификатором 821.

R1(config)# ip sla test 821

R1(config-sla-test)#

Шаг 3. Зададим ICMP-режим тестирования канала связи и параметры тестирования: на IP-адрес назначения (Responder) 192.168.0.2 и порт назначения тестовых пакетов 50000, IP-адрес источника (Sender) 192.168.0.1, количество тестовых пакетов, отправляемых в рамках теста 50, интервал отправки между тестовыми пакетами 15 мсек:

R1(config-sla-test)# icmp-echo 192.168.0.2 source-ip 192.168.0.1 num-packets 50 interval 15

Шаг 4. Указать количество тестов, по которым будет рассчитываться статистика:

R1(config-sla-test)# history 10

Шаг 5. Указать время жизни пакета:

R1(config-sla-test)# ttl 15

Шаг 6. Указать размер каждого пакета 1 Мбайт:

R1(config-sla-test)# packet-size 1024

Шаг 7. Указать значение DSCP:

R1(config-sla-test)# dscp 56

Шаг 8. Активируем тест SLA-тест с идентификатором 831.

R1(config-sla-test)# enable

R1(config-sla-test)# exit

Шаг 9. Создадим график выполнение теста.

R1(config)# ip sla schedule 821 start-time now life forever

Шаг 10. Настроим логирование событий, начиная с уровня error:

R1(config)# ip sla logging level error

Шаг 16. Запустим тест.

R1(config)# ip sla

Шаг 17. В режиме настройки теста установим ключ аутентификации sha-256 и пароль для аунтификации:

R1(config)# ip sla test 821

R1(config-sla-test)# control-phase authentication algoritm sha-256

R1(config-sla-test)# control-phase authentication key-string ascii-text SLA_test_KEY

Шаг 18. Создадим список портов для syslog.

R1(config)# object-group service IP_SLA_PORT

R1(config-object-group-service)# port-range 50000

R1(config-object-group-service)# exit

Шаг 19. Настроим правила взаимодействия между зонами безопасности.

R1(config)# security zone-pair LAN self

R1(config-zone-pair)# rule 120

R1(config-zone-pair-rule)# action permit

R1(config-zone-pair-rule)# match protocol udp

R1(config-zone-pair-rule)# match destination-port IP_SLA_PORT

R1(config-zone-pair-rule)# enable

R1(config-zone-pair-rule)# exit

Шаг 20. Применим и подтвердим настроенную конфигурацию.

R1# commit

R1# confirm

Шаг 21. Проверим конфигурацию командами show (см. рис. ).

Рис. 3. Команда show ip sla test statistics 821

Рис. 4. Команда show ip sla test configuration

Рис. 5. Команда show ip sla configuration

8.4.1 Настройка NetFlow.

1. Настройка NetFlow.

Цель задачи:

1) Организовать настройку Сенсора на маршрутизаторе ESR для учета трафика с интерфейса gi1/0/1 для передачи на сервер через интерфейс gi1/0/8 для обработки на коллектор.

2) Изменить порт Netflow-сервиса на сервере сбора статистики на 9555

3) Установить версию протокола 9

4) Ограничить максимальное количество наблюдаемых сессий до 256 000

5) Задать интервал, по истечении которого информация об устаревших сессиях экспортируются на коллектор 10 секунд.

6) Настроить частоту отправки статистики на коллектор каждый 50 пакет.

7) Проверить настройку NetFlow

Решение:

Предварительно необходимо выполнить следующие действия:

На интерфейсах gi1/0/1, gi1/0/8 отключить firewall командой «ip firewall disable». Назначить IP-адреса на портах.

Шаг 1. На R1 из привилегированного режима командой config проходим в режим глобальной конфигурации.

R1# config

R1(config)#

Шаг 2. Укажем IP-адрес коллектора:

R1(config)# netflow collector 10.0.1.1

Шаг 3. Установим порт Netflow-сервиса на сервере сбора статистики.

R1(config-netflow-host)# port 9555

R1(config-netflow-host)# exit

Шаг 4. Включим сбор экспорта статистики netflow на сетевом интерфейсе gi1/0/1:

R1(config)# interface gigabitethernet 1/0/1

R1(config-if-gi)# ip netflow export

R1(config-if-gi)# exit

Шаг 5. Зададим версию Netflow-протокола.

R1(config)# netflow version 9

Шаг 6. Установить максимальное количество наблюдаемых сессий.

R1(config)# netflow max-flows 256000

Шаг 7. Установить интервал, по истечении которого информация об устаревших сессиях экспортируются на коллектор.

R1(config)# netflow inactive-timeout 10

Шаг 8. Установить частоту отправки статистики на Netflow-коллектор.

R1(config)# netflow refresh-rate 50

Шаг 9. Активируем netflow на маршрутизаторе:

R1(config)# netflow enable

Шаг 10. Для просмотра статистики Netflow используется команда (см. рис. ):

Рис. 6. Команда show netflow statistics

Вывод

В ходе выполнения лабораторной работы №8 был произведён мониторинг и выполнена диагностика. Произведена настройка SNMP, настройка syslog, Eltex IP SLA и настройка NetFlow.

Санкт-Петербург

2023