пятница, 18 августа 2017 г.

CCNP Route "Full Scale" Лаба: Подготовка окружения


Итак, темы определены, базовая топология придумана. Теперь время подготовить окружение.

Я решил отказаться от IOU в пользу стильного молодежного EVE-NG, который был известен под названием UnetLab. Основная причина - drug-and-drop подход при создании линков. Ну и вообще там много приятного, ребята не сидели на месте все это время. Сегодня поставим EVE-NG, накидаем девайсов в лабу и подготовим Linux сервер для внутренних нужд.

Все посты по CCNP Route.

Установка предельно проста, в случае моего ESXi хоста, это просто импорт OVF файлика. Описывать я этот процесс не буду, на официальном сайте разработчиков есть отличный гайд.

После пары next-next-next, получаемый рабочий хост.


Я буду использовать IOU образы классического IOS, поэтому далее нужно добавить эти самые образы на сервер. Процесс этот также отлично описан на оф.сайте. Стоит отметить, что использование просто IOS на EVE это, наверное, только сотая часть всех возможностей EVE.

Далее, как я говорил в прошлом посте, я собираюсь использовать Linux сервер, на котором будет стоят Radius/Tacacs, OpenFlow коллектор и прочее такое. Для этих целей в топологию можно нативно добавить Linux "тачку". Очередная ссылка на гайд.



После всех подготовительных этапов пришло время создать новую лабу и добавить в неё устройства. Ниже можно увидеть скриншот с лабой.


По ходу дела я сделал несколько изменений, а именно:
1. Все тупиковые EIGRP роутеры (E5, E6, E7) я подключил к двум роутерам, но к E3-R2 и E4-O2 идут serial линки. Во-первых, тут можно будет поиграться с метрикой, задержками и прочим таким. Во-вторых, тут же попробуем настроить и Frame Relay. Я правда уже делал это в этом посте.
2. Я добавил новый роутер SRV, который подключен в О8. У О8 будет пачка статических маршрутов на роутер SRV, который подключен к серверу. Всю эту пачку статических маршрутов мы "проредистрибуцируем" в OSPF как E2 маршруты.
3. Я предварительно раскидал пачку хостов по топологии, остальные добавим по мере надобности, благо EVE это позволяет сделать в пару кликов. VPC1 и VPC2 добавлены для GRE, VPC3 и VPC4 будут выполнять роль конечных устройств для IPv6.

Ах, ведь ещё и на сервер надо взгромоздить всякого. Пока что ограничимся следующим функционалом:
  • TACACS+
  • NetFlow
  • SNMP Monitoring

Я выбрал то, что можно поставить без бубнов, старое и проверенное, а именно
apt-get install tacacs+
apt-get install ntopng
apt-get install cacti
соответсвенно.

Настроки TACACS+

После установки apt-get install tacacs+ нужно сразу же скопировать дефолтный конфиг куда-нибудь в другое место.

cp /etc/tacacs+/tac_plus.conf /etc/tacacs+/tac_plus.conf.old

Далее удаляем старый конфиг и создаем новый
rm /etc/tacacs+/tac_plus.conf
nano /etc/tacacs+/tac_plus.conf

accounting file = /var/log/tac_plus.acct

key = "supersecretkey"

user = melhiour {
    default service = permit
    login = cleartext "melhiour"
    member = admin
}

group = admin {
    service = exec {
        priv-lvl = 15
    }



Конфиг очень простой. В начале указываем файл, куда будет складываться аккаунтинг информация. Далее указываем ключ. Затем группу, которой все можно (priv-lvl = 15) и добавляем юзера melhiour в эту группу.

service tacacs+ restart

и можно работать.

Настройка NTOP

После завершения apt-get install ntopng можно сразу смотреть на то что же там наловил NTOP по адресу http://IP_ADDRESS:3000

Ntopng это что-то вроде анализатора, поставим nprobe для захвата NetFlow. A Ntopng будет выполнять роль веб морды.
wget http://apt-stable.ntop.org/16.04/all/apt-ntop-stable.deb
dpkg -i apt-ntop-stable.deb 

apt-get clean all
apt-get update
apt-get install pfring nprobe n2disk cento nbox

Далее правим конфиг. Слушаем NetFlow на порту 2055 и отдаем по TCP на этом же хосте.

nano /etc/nprobe/nprobe-ens4.conf
--zmq="tcp://*:5556"
--collector-port=2055
-n=none
-i=none

Стартуем сервер
sudo touch /etc/nprobe/nprobe-none.start
sudo service nprobe start

Далее нужно настроить ntop на прослушивание этого TCP порта.
sudo nano /etc/ntopng.conf

Нужно указать какой интерфейс мы хотим слушать. В нашем случае, это ens4, который смотрит в сторону лабы.

# * Interfaces to sniff on: one interface per line, prefix with -i=
-i="tcp://127.0.0.1:5556"


service ntopng restart
 
Должно работать... Как видно ниже, данных пока нет.


Настройка CACTI

Тут все ещё проще, после установки заходим на http://IP_ADDRESS/cacti. Далее указываем новый admin пароль и можно работать.


Ох, каким же родным кажется мне этот интерфейс.

Пожалуй все, в следующий раз будем проводить первоначальную настройку роутеров. Займемся в основном темами из раздела Operation.

Operation
  • AAA configuration
  • Password encription
  • Lines
  • ACL (standard, extended, time-based)
  • TFPT, SCP, HTTP...
  • SNMPv2/v3
  • Logging
  • Debugging (conditional debugs)
  • NTP (master,client,peer, authentification)
  • NetFlow (v5, v9)
P.S.: Нет, EVE-NG мне не приплачивают за рекламу, к сожалению. )

Update

Небольшой апдейт, связка NTOP+NPROBE выглядит классно, но почему-то не взлетает... Решил использовать ещё более проверенный nfdump. Ниже тесты на Mikrotik.


Запускаем сбор NetFlow на 5056 порту и пишем в файл в tmp. nfcapd -p 2056 -l /tmp
В директории tmp появляется дамп.
Смотрим дамп. nfdump -r /tmp/nfcapd.201708182240
В рамках CCNP Route больше и не нужно.


Комментариев нет:

Отправить комментарий