PPt_4face_021208.jpg © 2007 – 2016, Cisco Systems, Inc. All rights reserved. Cisco Public SWITCH v7.1 Chapter 7 ‹#› Cisco_NewLogo Kapitola 7: Network Management CCNP SWITCH: Implementing Cisco IP Switched Networks Cisco Networking Academy Program CCNP ROUTE: Implementing IP Routing Chapter 1: Routing Services Chapter 7 Objectives §This chapter covers the following topics related to network management and mobility: §AAA §Identity-based networking 802.1X §NTP §SNMP Chapter 1 Objectives ss1 AAA AAA §■ Autentizace •Autentizace je proces identifikace uživatele před tím, než je mu povolen přístup k chráněnému zdroji. §■ Autorizace •Poté, co uživatel získá přístup k síti, provede se autorizace. Autorizace umožňuje kontrolovat úroveň uživatelů přístupu §■ Účetnictví (Accounting) •Účetnictví se provádí po autentizaci. Účetnictví umožňuje shromažďovat informace o činnosti uživatele a spotřebě zdrojů. . Výhody AAA §Vyšší flexibility a řízení konfigurace přístupu •AAA nabízí dodatečnou pružnost autorizace na úrovni příkazů či rozhraní, která není k dispozici u lokálních pověření. §Škálovatelnost •Jak síť roste, správa velkého počtu uživatelů na více zařízeních se stává vysoce nepraktickou a náchylnou k chybám, s velkým množstvím administrativní zátěže. §Standardizované autentizační metody •AAA podporuje protokol RADIUS, což je průmyslově otevřený standard. To zajišťuje interoperabilitu a umožňuje flexibilitu, protože lze kombinovat různé dodavatele. §Více zálohovacích (backup) systémů •Při konfiguraci autentizace lze určit více serverů a ty kombinovat v rámci skupiny. RADIUS a TACACS+ – přehled §RADIUS a TACACS+ jsou AAA protokoly. §Oba používají model klient/server. §Uživatel resp. počítač odešle požadavek (1) na síťové zařízení, jako je například směrovač, který při spuštění AAA funguje jako server pro přístup k síti. §Server pro přístup k síti pak komunikuje (2, 3) se serverem, který si vyměňuje zprávy RADIUS nebo TACACS +. §Pokud je ověření úspěšné, je uživateli uděleno (4) přístup k chráněnému zdroji (5), např. k CLI zařízení, síti atd. •Cisco implements the AAA server functionality in the Cisco Secure Access Control Server (ACS) and Identity Services Engine (ISE), for example. TACACS+ versus RADIUS RADIUS – Autentizační proces (nad UDP) Autentizační a autorizační údaje jsou kombinovány v jediném paketu Access-Request. Tento paket obsahuje uživatelské jméno, šifrované heslo, adresu IP serveru NAS a číslo portu NAS. Páry AV attribut – value https://www.cisco.com/en/US/products/sw/secursw/ps2086/products_user_guide_chapter09186a008007e364. html https://www.iana.org/assignments/radius-types/radius-types.xhtml •1 - RADIUS authentication process between the NAS and RADIUS server starts when a client sends a login request in the form of an Access- Request packet. This packet contains a username, encrypted password, the NAS IP address, and the NAS port number. •2 - When the RADIUS server receives the query, it first compares the shared secret key sent in the request packet with the value configured on the server. When shared secrets are not identical, the server silently drops the packet. This ensures that only authorized clients can communicate with the server. If shared secrets are identical, the packet is further processed, comparing the username and password inside the packet with those found in the database. •If a match is found, the server returns an Access-Accept packet with a list of attributes to be used with this session in the form of AV pairs (IP address, access control list [ACL] for NAS). If a match is not found, however, the RADIUS server returns an Access-Reject packet. It is important to notice that authentication and authorization phases are combined in a single Access-Request packet, unlike TACACS+. •During the authentication and authorization phase, an optional Access-Challenge message may be requested by the RADIUS server with the purpose of collecting additional data (PIN, token card, and so on), further verifying the client’s identity. •Moreover, the accounting phase is realized separately after the authentication and authorization phases, using Accounting-Request and Accounting-Response messages. TACACS+ – Autentizační proces (nad TCP) § •TACACS+ communication between the NAS and the TACACS+ server starts with a TCP communication, unlike RADIUS (which uses UDP). •Next, the NAS contacts the TACACS+ server to obtain a username prompt, which is then displayed to the user. The username entered by the user is forwarded to the server. •The server prompts the user again, this time for a password. The password is then sent to the server, where it is validated against the database (local or remote). •If a match is found, the TACACS+ server sends an ACCEPT message to the client, and the authorization phase may begin (if configured on the NAS). If a match is not found, however, the server responds with a REJECT message, and any further access is denied. Konfigurace AAA §Pro povolení AAA je prvním krokem konfigurace příkazu aaa new-model v režimu globální konfigurace. §Tento krok v podstatě nastavuje možnosti AAA. §Pokud není tento příkaz povolen, jsou všechny ostatní příkazy AAA skryty. § §Příkaz aaa new-model okamžitě aplikuje lokální ověřování na všechny řádky a rozhraní (kromě řádku konzoly con 0). §Chcete-li se vyhnout zablokování směrovače, je nejlepším postupem definovat lokální uživatelské jméno a heslo před spuštěním konfigurace AAA. Konfigurace RADIUS přístupu §Switch(config)# radius server configuration-name §Switch(config-radius-server)# address ipv4 hostname [auth-port integer ] [ acct-port integer] §Switch(config-radius-server)# key string §Switch(config)# aaa group server radius group-name §Switch(config-sg-radius)# server name configuration-name Specifikace zákaznického portu je volitelná •Configuration-name is just a text identifier for the server in question. In the subconfiguration, the DNS hostname or the IP address is specified. •Specification of a custom port number for the UDP communication is optional and rarely used for the case of leveraging nondefault ports. •The key string specifies the authentication and encryption key used between the access device and RADIUS server. •The next step is to add the RADIUS server to a server group. You can add multiple RADIUS servers to a group, as long as they were previously defined using the radius server command Aplikace metod RADIUSu na vty §Switch(config)# aaa authentication login radius_list group Mygroup2 local §Switch(config)# line vty 0 §Switch(config-line)# login authentication radius_list Konfigurace TACACS+ pro konzolový a vty přístup §Switch(config)# tacacs server configuration-name §Switch(config-server-tacacs)# address ipv4 hostname §Switch(config-server-tacacs)# port integer §Switch(config-server-tacacs)# key string §Switch(config)# aaa group server tacacs+ group-name §Switch(config-sg-tacacs+)# server name configuration-name •The configuration-name is just a text identifier for the server in question. In the subconfiguration, the DNS hostname or the IP address of the server is specified. •Specification of a custom port number for the TCP communication is optional and used in the case of leveraging nondefault ports. •The key string specifies the authentication and encryption key used between the access device and TACACS+ server. AAA autorizace §Kroky konfigurace autorizace: §Krok 1. Uveďte seznam autorizačních metod. §Krok 2. Aplikujte seznam těchto metod na jedno či více rozhraní (vyjma seznamu defaultních metod). §Krok 3. Je použita první uvedená metoda. Pokud neodpoví, použije se druhá a tak dále, dokud nejsou vyčerpány všechny uvedené metody. Jakmile je seznam metod vyčerpán, je zaznamenána zpráva o poruše. §Switch(config)# aaa authorization authorization-type list-name method-list §Switch(config)# line line-type line-number §Switch(config)# authorization { arap | commands level | exec | reverse-access } list-name • arap For Appletalk Remote Access Protocol • commands For exec (shell) commands • exec For starting an exec (shell) • reverse-access For reverse telnet connections AAA Accounting §Účetnictví AAA má stejná pravidla a konfigurační kroky jako autentizace a autorizace: Krok 1. Nejprve musíte definovat pojmenovaný seznam účetních metod. Krok 2. Použijte tento seznam na jedno nebo více rozhraní (kromě defaultního seznamu metod). Krok 3. Je použita první uvedená metoda; pokud neodpoví, použije se druhá a tak dále. §Switch(config)# aaa accounting accounting-type list-name { start-stop | stop-only | none } method-list §Switch(config)# interface interface-type interface-number §Switch(config-if)# ppp accounting list-name Omezení pro TACACS+ a RADIUS §RADIUS nemusí být optimální v následujících situacích: •Situace komunikace zařízení – zařízení • (RADIUS nenabízí obousměrné ověřování). •Sítě využívající více služeb • (RADIUS obecně váže uživatele na jeden model služby). § §TACACS+ nemusí být optimální v následujících situacích: •Multivendorové prostředí • (TACACS+ je proprietární protokol společnosti Cisco) •Když se jedná o rychlost reakce ze služeb AAA (TACACS+ používá TCP jako mechanismus transportního protokolu). . . . . •Device-to-device situations •RADIUS does not offer two-way authentication. It works strictly in a client/server mode, where authentication may be started only from the client side and where the server always authenticates the client. If you have two devices that need to mutually authenticate each other, RADIUS is not an appropriate solution. •Networks using multiple service •RADIUS generally binds a user to a single service model. An Access-Request RADIUS packet contains information about a type of session you want to use. Two session types may be initiated: character mode (used for the Telnet service) and PPP mode (used for PPP). In character mode, your session will typically terminate on a device for the administrative purposes (for example, to access the CLI). In PPP mode, your session will terminate on a NAS, but your goal is to access network resources behind the NAS. A single RADIUS server cannot bind a user simultaneously to character and PPP mode. •Multivendor environment •TACACS+ is a Cisco proprietary protocol developed as a completely new version of the older TACACS protocol. Some vendors may not support it even though Cisco has published TACACS+ specification in a form of a draft RFC. •When speed of response from the AAA services is of concern •TACACS+ uses TCP as a transport protocol mechanism. TCP is a connection-oriented protocol, which means that a connection between two endpoints has to be established before the data can start to flow. On legacy devices, this mechanism may have higher latency, and TACACS+ might not be the best option if you need fast response from the AAA services. When using current-generation network devices and AAA servers, this is not an issue. ss2 Identity-Based Networking Identity-Based Networking §Identity-based networking (síť založená na identitě) je koncept, který spojuje několik funkcí, které zahrnují autentizaci, řízení přístupu, mobilitu a součásti zásad uživatelů s cílem poskytovat a omezovat uživatele se síťovými službami, na které mají nárok. § §Z pohledu přepínače vám síť založená na identitě umožňuje ověřit uživatele po připojení k portu přepínače. . . . . . . . . •From a switch perspective, identity-based networking allows you to verify users once they connect to a switch port. Identity-based networking authenticates users and places them in a specific VLAN based on their identity. Should any users fail to pass the authentication process, that user’s access can be rejected, or he might simply be put in a guest VLAN. IEEE 802.1X Port-Based Autentizace §Dokud není klient autentizován, řízení přístupu 802.1X umožňuje, aby pouze provoz EAPOL, CDP a STP procházel portem, ke kterému je klient připojen. Po úspěšném ověření může příslušným portem projít běžný provoz. . Model klient/server protokolu 802.1X §Klient •Obvykle pracovní stanice nebo notebook s klientským softwarem kompatibilním s 802.1X. •Většina moderních operačních systémů zahrnuje nativní podporu 802.1X. •Klient je v terminologii 802.1X označován také jako žadatel. §Autentikátor •Obvykle hraniční přepínač nebo bezdrátový přístupový bod (AP), autentizátor řídí fyzický přístup k síti na základě ověřovacího statusu klienta. •Authentikátor obsahuje klienta RADIUS, který je zodpovědný za zapouzdření a dekomulaci rámců protokolu EAP (Extensible Authentication Protocol) a interakci s ověřovacím serverem. §Autentizační server •Server, který provádí skutečné ověření klienta. •Server RADIUS s příponami (extensions) EAP je v současné době jediným podporovaným autentizační serverem. 802.1X Port-Based Authentication § 802.1X – konfigurační příklad §Nelze na rozhraní vydávat příkazy dot1x, pokud předtím není nastaven switchport mode. § §Defaultní stav portů přepínačů se liší mezi přepínači, ale není běžně nastaven na režim access. . . . . . . . . ss3 Network Time Protocols Proč přesný čas §Potřeba přesného času se každým rokem zvyšuje. §Koordinační události, logování značek a skripty, které jsou založeny na systémových hodinách. §Proto se v dnešní síti zvyšuje význam koordinace systémových hodin a jejich přesnosti. §Z hlediska nejlepší praxe se doporučuje nastavit hodiny na všech síťových zařízeních na UTC bez ohledu na jejich umístění a poté nakonfigurovat časové pásmo, aby se v případě potřeby zobrazil místní čas. Manuální konfigurace systémových hodin § Nastavení letního času §clock summer-time zone recurring [ week day month hh:mm week day month hh:mm [offset]] § §clock summer-time zone date date month year hh:mm date month year hh:mm [ offset ] § §clock summer-time zone date month date year hh:mm month date year hh:mm [ offset ] § §https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4000/8-2glx/configuration/guide/ntp.htm l Nastavení letního času § Network Time Protocol – přehled §Ruční nastavení hodin libovolného síťového zařízení není ani přesné ani škálovatelné. §Nejlepším postupem je použití protokolu NTP (Network Time Protocol), jednoduchého protokolu NTP (SNTP) nebo protokolu PTP (Precision Time Protocol). §NTP je navržen tak, aby synchronizoval čas v celé síťové infrastruktuře, včetně serverů, přepínačů, směrovačů, hostitelských počítačů, bezdrátových přístupových bodů, zdroje nepřerušitelného napájení (UPS) a tak dále. §NTP standardně využívá UDP port 123 pro zdroj i cíl. . . . . . . . . . . . . . . . . •Sample NTP setup where the NTP is sourcing time from an atomic clock, Global Positioning System (GPS), or other accurate time source and sending NTP info out on the network to synchronize devices. Network Time Protocol – přehled §Síť NTP obvykle získá svůj referenční čas z autoritativního zdroje času, jako jsou rádiové hodiny, GPS nebo atomové hodiny připojené k časovému serveru NTP někde v síti. NTP pak tento čas distribuuje po síti. §Přesné měření času je umožněno výměnou zpráv NTP mezi jednotlivými dvojicemi strojů (server / klient). §V prostředí sítě LAN však může být služba NTP nakonfigurována tak, aby místo ní použila broadcasty IP. §Chcete-li zachovat přesnost času, NTP používá koncept stratum k popisu, kolik NTP skoků je od autoritativního zdroje času. §Stroj s NTP automaticky vybere stroj s nejnižším číslem vrstvy. . . . . . . . . . . . . . . . . NTP: Stratum •NTP se vyhne dvěma způsoby synchronizace se strojem, jehož čas nemusí být přesný. •NTP se nikdy nesynchronizuje se strojem, který není sám synchronizován. •NTP porovnává čas, který je hlášen několika stroji, a nebude synchronizován se strojem, jehož čas se výrazně liší od času ostatních, i když je jeho vrstva nižší. . . . . . . . . . . . . . . . . Role NTP §Zařízení může mít současně více než jednu roli. §Server •Poskytuje přesné časové informace klientům v síti. §Klient •Synchronizuje svůj čas se serverem NTP. Tento režim je nejvhodnější pro klienty souborových serverů a pracovních stanic, kteří nejsou povinni poskytovat žádnou formu synchronizace času ostatním lokálním klientům. Může také poskytovat přesný čas dalším zařízením. §Peers •Pouze si vyměňují informace sloužící pro symchronizaci času. Ten z nich, který má nejpřesnější čas, je server a ostatní klienti. §Broadcast/multicast §Speciální „push“ režim NTP serveru, který se používá pokud je místní LAN zaplavena aktualizacemi. Používá se pouze tehdy, není-li časová přesnost problém. Příklad NTP Dvě fáze procesu postupné konvergence §V případě velkých rozdílů (nad 128 ms) dochází k tzv. skokové (stepping) synchronizaci. Ta zaručí okamžité srovnání času- §V případě menších rozdílů probíhá tzv. slewing (přibližování). §Když je rozdíl větší než cca 17 minut, výsledkem je konec aplikace na straně klienta a chybové hlášení informující o tom, že není něco v pořádku. Verifikace NTP § Nastavení a verifikace Clock Time Zone a Daylight Savings Time Downstream NTP – příklad § § Plochá (flat) struktura §S plochou strukturou jsou všechny směrovače nakonfigurovány tak, aby se navzájem sledovaly jako NTP peers. Každý router bude fungovat jako klient i server s každým dalším směrovačem. Dva nebo tři směrovače by měly být nakonfigurovány tak, aby synchronizovaly svůj čas s externími časovými servery a tím je zajištěna redundance externích časových serverů. § §Tento model je velmi stabilní, protože každé zařízení se synchronizuje s každým dalším zařízením v síti. Nevýhodami jsou obtíže při administraci, pomalé konvergence a špatná škálovatelnost. § §Pokud přidáte zařízení do sítě, může vám dlouho trvat, než identifikujete všechna ostatní zařízení a nahlédnete do nového zařízení. Vzhledem k tomu, že všechna zařízení ve vztahu peer-to-peer mají slovo při výběru nejlepšího času, může chvíli trvat, než se směrovače shodnpu na přesném čase. § §Závěr: plochá struktura NTP se nedoporučuje pro velké sítě. § Hierarchická implementace NTP §Pro velké sítě je nejlepším postupem implementovat NTP hierarchicky. §Poskytovatelé internetových služeb (ISP) používají tento typ hierarchického modelu pro škálování časové synchronizace. §Každý ISP má několik serverů úrovně stratum 1, které jsou synchronizovány s jinými zařízeními ISP, a poskytovatel služeb Internetu nakonec poskytuje služby synchronizace času pro zařízení zákazníků na okraji sítě. Okrajové zákaznické zařízení pak poskytuje časovou synchronizaci zbytku interní zákaznické sítě. §Výsledkem je, že tento odstupňovaný model spotřebovává méně administrativní režie a časová konvergence je minimalizována, protože každý zákaznický okrajový směrovač není spojen s každým jiným zákaznickým okrajovým směrovačem. Pro velké podnikové sítě má smysl implementovat podobnou hierarchii synchronizace NTP. § Hybridní model §Hybridní model je označován jako struktura hvězd, kde všechna zařízení v síti mají vztah s několika časovými servery v jádru. § Ilustrace návrhových principů NTP § •With a flat structure, all routers are configured to peer to each other as NTP peers. Each router will act both as a client and server with every other router. Two or three routers should be configured to synchronize their time with external time servers as a best practice to ensure redundancy to external time servers. •This model is very stable because each device synchronizes with every other device in the network. The disadvantages are difficulty of administration, slow convergence times, and poor scalability. If you add a device to the network, it can take you a good amount of time to identify all other devices and peer them with the new device. Because all devices in a peer-to-peer relationship have a say in selecting the best time, it can take some time for the routers to converge on an accurate time. •As a result, a flat NTP structure is not recommended for large networks. For large networks, it is a best practice to implement NTP in a hierarchical manner. •Internet service providers (ISPs) use this kind of hierarchical model to scale time synchronization. •Each ISP has multiple stratum 1 servers that synchronize to other ISP devices, and the ISP ultimately provides time synchronization services to customers’ devices on the edge of the network. The edge customer device then provides time synchronization to the rest of the internal customer network. •As a result, this tiered model consumes less administrative overhead and time convergence is minimized because every customer edge router is not associated with every other customer edge router. For large enterprise networks, it makes sense to implement a similar hierarchy of NTP synchronization. •A hybrid design of flat and hierarchical is referred to as a star structure, where all devices in a network have a relationship with a few time servers in the core. Figure 7-10 shows an example of a star design. Zabezpečení NTP §Kroky ověřování NTP: §Krok 1. Definujte NTP ověřovací klíč nebo klíče příkazem ntp autentication-key. Každé číslo určuje unikátní klíč NTP. §Krok 2. Povolte autentizaci NTP pomocí příkazu ntp authenticate. §Krok 3. Řekněte zařízení Cisco, které klíče jsou platné pro ověřování NTP pomocí příkazu ntp trusted-key. Jediným argumentem tohoto příkazu je klíč, který jste definovali v prvním kroku. §Krok 4. Určete server NTP, který vyžaduje ověření pomocí příkazu ntp server ip-address key key-number. Podobně můžete ověřit totožnost NTP pomocí příkazu ntp peer ip-key key-number. •Note that Cisco devices support only message digest 5 (MD5) algorithm authentication for NTP. NTP Authentication Example § Čtyři omezení pomocí NTP ACL §Peer •Jsou povoleny požadavky na synchronizaci času a kontrolní dotazy. Zařízení se může synchronizovat se vzdálenými systémy, které vyhovují ACL. §Server •Jsou povoleny požadavky na synchronizaci času a kontrolní dotazy. Zařízení není dovoleno synchronizovat se se vzdálenými systémy, které splňují ACL. §Server-only •Pouze povoluje synchronizační požadavky. §Query-only •Umožňuje pouze kontrolní dotazy. •As mentioned previously, once a Cisco router or switch has be •Jsou povoleny požadavky na synchronizaci času a kontrolní dotazy. Zařízení se může synchronizovat se vzdálenými systémy, které procházejí seznamem přístupů. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . •en synchronized to an NTP source, the Cisco router or switch will act as an NTP server to any device that requests NTP synchronization Příklad NTP ACL NTP Source Address – zdrojová adresa §Zdroj paketu NTP bude stejný jako rozhraní, na kterém byl paket odeslán. §Při implementaci ověřovacích a přístupových seznamů je dobré mít specifické rozhraní, které bude fungovat jako zdrojové rozhraní pro NTP. §Bylo by moudré zvolit rozhraní feedbacku pro použití jako zdroj NTP. Je to proto, že feedback nikdy nebude jako fyzická rozhraní. §Pokud jste nakonfigurovali loopback 0, aby fungoval jako zdroj NTP pro veškerou komunikaci a toto rozhraní má například IP adresu 192.168.12.31, můžete zapsat pouze jeden přístupový seznam, který povolí nebo zakáže na základě jedné IP adresy. . . . . . . . . . . . . . . . . . •SW-ACAD-ROOT(config)#ntp source interface-type interface-number Verze NTP §NTPv4 je rozšíření NTP Version 3. NTPv4 podporuje IPv4 a IPv6 a je zpětně kompatibilní s NTPv3. § §NTPv4 přidává následující možnosti: §Podpora IPv6 §Vyšší úroveň bezpečnosti §Preferuje multicast před broadcastem pro push módy Switch(config)# ntp server 2001:DB8:0:0:8:800:200C:417A version 4 NTPv4 provides the following capabilities: •NTPv4 supports IPv6, making NTP time synchronization possible over IPv6. •Security is improved over NTPv3. The NTPv4 protocol provides a whole security framework based on public key cryptography and standard X509 certificates. •Using specific multicast groups, NTPv4 can automatically calculate its timedistribution hierarchy through an entire network. NTPv4 automatically configures the hierarchy of the servers to achieve the best time accuracy for the lowest bandwidth cost. This feature leverages site-local IPv6 multicast addresses. NTPv4 poskytuje následující možnosti: §NTPv4 podporuje IPv6, což umožňuje synchronizaci času NTP přes IPv6. •Switch (config) # ntp server 2001: DB8: 0: 0: 8: 800: 200C: 417A version 4 § §Bezpečnost je zlepšena oproti NTPv3. Protokol NTPv4 poskytuje celý bezpečnostní rámec založený na kryptografii veřejného klíče a standardních certifikátech X509. § §Pomocí specifických skupin multicast vysílání může NTPv4 automaticky vypočítat svou hierarchii časového rozdělení prostřednictvím celé sítě. § §NTPv4 automaticky konfiguruje hierarchii serverů tak, aby bylo dosaženo nejlepší časové přesnosti při nejnižších nákladech na šířku pásma. Tato funkčnost využívá lokální IPv6 multicast adresy. ss2 SNMP Obsah kapitoly SNMP §Role SNMP §Rozdíly mezi verzemi SNMP §Praktická doporučení pro nastavení SNMP §Konfigurační příkazy pro SNMP Version 3 §Verifikace konfigurace SNMP Přehled SNMP §SNMP se sklásá ze dvou komponent: §Manager SNMP, který periodicky dotazuje agenty SNMP na spravovaných zařízeních dotazem na zařízení pro data. Periodická výzva má nevýhodu: Mezi skutečným výskytem události a časem, kdy správce SNMP dotazuje data, dochází ke zpoždění. §Agenti SNMP na spravovaných zařízeních shromažďují informace o zařízení a převádějí je do kompatibilního formátu SNMP podle MIB. MIB jsou kolekce definic spravovaných objektů. Agenti SNMP uchovávají databázi hodnot definic zapsaných v MIB. § § § §. •SNMP has become the standard for network management. SNMP is a simple, easy-toimplement protocol and is thus supported by nearly all vendors. •SNMP defines how management information is exchanged between SNMP managers and SNMP agents. SNMP uses the UDP transport mechanism to retrieve and send management information, such as Management Information Base (MIB) variables that contain information about the platform. Procesy SNMP •Therefore, SNMP polling is typically used to gather environment and performance data such as device CPU usage, memory usage, interface traffic, interface error rate, and so on. Free and enterprise-level NMS software bundles provide data collection, storage, manipulation, and presentation. An NMS offers a look into historical data, in addition to anticipated trends. •An NMS often supports a central view that provides an overview of the entire network to easily identify irregular events, such as increased traffic and devices unavailability due to DoS attacks. •These notifications are crucial to responding to attacks quickly. SNMP Versions §Version 1 •Pět typů zpráv •Get Request, •Get Next Request •Set Request •Get Response •Trap. •Dnes řídce se vyskytující verze. §Version 2 •Zavádí nové zprávy •Get Bulk Request, •Inform Request, typ trapu očekávající potvrzení. •Version 2 přidala 64-bit čítač pro zvýšení rychlosti na rozhraních. •Přidal bezpečnostní model, který nebyl šířeji akceptovaný. §Version 2c •Community-based SNMP Version 2, je široce akceptovatelné •Community-based version of SNMP je nedostatečně bezpečné. §Version 3 •Doplnění bezpečnosti. Bezpečnost SNMPv3 §SNMPv3 podporuje následující tři úrovně bezpečnosti: §noAuthNoPriv •Žádná autentizace a žádné šifrování není povoleno. §authNoPriv •Autentizace je založena na Hashed Message Authentication Code (HMAC), MD5, nebo Secure Hash (SHA). Šifrování není poskytnuto. §authPriv •Autentizace je doplněna šifrováním CBC-DES. Chybná konfigurace z hlediska bezpečnosti §router ospf 100 redistribute connected metric 100 metric-type 1 subnets redistribute static metric 100 metric-type 1 subnets passive-interface Ethernet0 network 10.0.144.0 0.0.0.255 area 9 area 9 nssa ! no ip classless logging buffered alerts logging console informational logging 10.192.17.3 access-list 1 permit 10.132.36.16 access-list 1 permit 10.132.37.11 access-list 1 permit 10.132.37.3 access-list 2 permit 10.0.0.0 0.255.255.255 snmp-server community public RW 1 snmp-server trap-source Loopback1 snmp-server packetsize 8192 snmp-server trap-authentication snmp-server queue-length 50 snmp-server enable traps isdn snmp-server enable traps config snmp-server enable traps bgp snmp-server enable traps frame-relay snmp-server host 10.192.17.3 public tty snmp Nejlepší praktiky SNMP §Omezení přístupu na read-only. §Použití práva write access s oddělenými kredity. §Nastavení SNMP views na nezbytný přístup do MIB. §Konfigurace ACLs pro omezení SNMP přístupu. §Použití SNMPv3 autentizace, šifrování a kontroly integrity kdekoliv to lze. Konfigurační kroky SNMPv3 §Step 1. Configure an access list to be used to restrict subnets for SNMP access. §Step 2. Configure the SNMPv3 views to limit access to specific MIBs. §Step 3. Configure the SNMPv3 security groups. §Step 4. Configure the SNMPv3 users. §Step 5. Configure the SNMPv3 trap receivers. §Step 6. Configure ifindex persistence to prevent ifindex changes. Konfigurace SNMPv3 •The next step is to configure the restrictions to the MIBs. In Example 7-21 , a text label of OPS was configured for both the read and write view for the group groupZ. As in the example, only specific object identifiers (OIDs) are allowed in the view. For the example, the permitted OIDs system uptime, interface status, and descriptions were added. •The SNMPv3 group is configured with the authPriv security level ( snmp-server group groupZ v3 priv ), and the user for that group ( snmp-server userZ groupZ ) with passwords for both authentication ( auth sha itsasecret ) and encryption ( priv aes 256 anothersecret ). •The configuration example then enables SNMP traps with the snmp-server enable traps command. Traps are sent to an NMS or equivalent server; therefore, the receiving SNMP manager has to be configured. From the example, SNMPv3 traps will be sent to address 10.1.1.50 ( snmp-server host 10.1.1.50 traps ) using the user with the authPriv security level ( priv ). You can also limit events for which traps are sent. In the example, the traps are limited to CPU and port security-related events ( cpu port-security ). Bezpečnostní konfigurace §Skupina SNMPv3 je konfigurována s úrovní zabezpečení authPriv (snmp-server group groupZ v3 priv) a s uživatelem této skupiny (snmp-serverZ userZ groupZ) s hesly pro ověřování (auth sha itsasecret) a šifrování (priv aes 256 anothersecret). §Příklad konfigurace pak povolí SNMP trapy pomocí příkazu snmp-server enable traps. Trapy jsou odesílány na NMS nebo ekvivalentní server; proto musí být konfigurován přijímající SNMP manažer. Z příkladu budou SNMPv3 trapy odeslány na adresu 10.1.1.50 (snmp-server host 10.1.1.50 traps) pomocí uživatele s úrovní zabezpečení authPriv security level (priv). §Můžete také omezit události, pro které jsou odesílány trapy. V tomto příkladu jsou trapy omezeny na události související s CPU a zabezpečením portu (cpu port security). Příkazy SNMP § Souhrn kapitoly 7 §Funkce AAA zahrnují autentizaci, autorizaci a účetnictví. Využití AAA je vyžadováno téměř ve všech sítích kampusu, protože zajišťuje a zajišťuje administrativní řízení a protokolování uživatelského přístupu k síťovým zařízením a samotné síti. §Síť založená na identitě využívá protokoly 802.1X pro podporu mobility, zabezpečení, autentizace a autorizace uživatelů k síťovým prostředkům. §Přesný čas je nezbytný pro služby zaznamenávání času v sítích kampusu, stejně jako mnoho bezpečnostních funkcí, jako je šifrování. §Všechny přepínače Cisco Catalyst podporují NTP pro synchronizaci času. §NTP obecně dosahuje přesnosti v milisekundách v sítích LAN. §SNMP je light protokol, který nejen monitoruje a kontroluje zařízení, ale také podporuje upozornění na události. §SNMPv3 je doporučení pro osvědčené postupy pro SNMP; nepoužívejte SNMPv2 (nebo v1), pokud je to možné (z důvodu nedostatku bezpečnostních funkcí). §Bezpečnost v okolí SNMP musí být považována za součást implementačního plánu. Minimálně použijte ověřování a šifrování spolu s omezeným přístupem pro zápis a IP ACL, abyste omezili přístup k síti. § § § §CCNPv7.1 SWITCH Lab7.1 NTP §CCNPv7.1 SWITCH Lab7.2 SNMP Chapter 7 Labs