2S.10.Устройства — обнаружение, управление и обслуживание
В этой главе вы изучите инструменты, которые сетевые администраторы используют для обнаружения устройств, управления устройствами и их обслуживания.
В этой главе вы изучите инструменты, которые сетевые администраторы используют для обнаружения устройств, управления устройствами и их обслуживания.
Протокол Cisco Discovery Protocol (CDP) — это проприетарный протокол компании Cisco уровня 2, который служит для сбора информации об устройствах Cisco, использующих один и тот же канал передачи данных. CDP не зависит от среды передачи данных и других протоколов; он включен на всех устройствах Cisco, таких как маршрутизаторы, коммутаторы и серверы доступа.
Периодически устройство отправляет объявления CDP на подключенные устройства, как показано на рисунке. Посредством объявлений осуществляется обмен информацией о типах обнаруженных устройств, их именах, количестве и типах интерфейсов.
Поскольку большинство сетевых устройств подключены к другим устройствам, протокол CDP может помочь в проектировании сетей, поиске и устранении неполадок, а также во внесении изменений в оборудование. CDP также можно использовать в качестве сетевого средства обнаружения для получения информации о соседних устройствах. Собранная таким образом информация помогает построить логическую топологию сети в случае отсутствия документации или ее недостаточной детализации.
На устройствах Cisco протокол CDP включен по умолчанию. Иногда из соображений безопасности может потребоваться отключить CDP на сетевом устройстве — глобально или для отдельных интерфейсов. Когда CDP включен, злоумышленник может получить ценную информацию о структуре сети, такую как IP-адреса, версии IOS и типы устройств.
Чтобы проверить состояние CDP и отобразить сведения о нем, введите команду show cdp, как показано в примере 1.
Чтобы включить CDP сразу для всех поддерживаемых интерфейсов устройства, введите команду cdp run в режиме глобальной конфигурации. Чтобы отключить CDP сразу для всех интерфейсов устройства, введите команду no cdp run в режиме глобальной конфигурации.
Чтобы отключить CDP для определенного интерфейса, например используемого для подключения к интернет-провайдеру, введите no cdp enable в режиме настройки интерфейса. Протокол CDP по-прежнему включен на устройстве, однако объявления CDP больше не передаются через этот интерфейс. Чтобы снова включить CDP для определенного интерфейса, введите cdp enable, как показано на рис. 2.
На рис. 3 показано глобальное отключение CDP с помощью команды no cdp run и его повторное включение с помощью команды cdp run.
Чтобы проверить состояние CDP и просмотреть список соседних устройств, выполните команду show cdp neighbors в привилегированном режиме EXEC. Команда show cdp neighbors отображает важную информацию о соседних устройствах CDP. Как видно из результатов выполнения команды show cdp neighbors, которые показаны на рис. 4, в настоящее время у данного устройства нет соседей, поскольку оно физически не подключено к другим устройствам.
Команда show cdp interface отображает интерфейсы устройства, на которых включен протокол CDP. Кроме того, выводится состояние каждого интерфейса. На рис. 5 показано, что протокол CDP включен на пяти интерфейсах маршрутизатора, при этом имеется только одно активное подключение к другому устройству.
Для приобретения практических навыков настройки и проверки CDP используйте инструмент проверки синтаксиса (см. рис. 6).
Устройства Cisco также поддерживают протокол LLDP (Link Layer Discovery Protocol) — не зависящий от поставщика протокол для обнаружения соседей, подобный CDP. LLDP работает с сетевыми устройствами, такими как маршрутизаторы, коммутаторы и точки доступа к беспроводной сети LAN. Этот протокол объявляет себя и свои возможности другим устройствам и получает данные от физически подключенных устройств уровня 2.
На некоторых устройствах протокол LLDP может быть включен по умолчанию. Чтобы включить LLDP для всех интерфейсов сетевого устройства Cisco, введите команду lldp run в режиме глобальной конфигурации. Чтобы отключить протокол LLDP, введите команду no lldp run в режиме глобальной конфигурации.
Как и протокол CDP, протокол LLDP можно включить и отключить на конкретных интерфейсах. Однако передачу и прием пакетов LLDP необходимо настраивать отдельно, как показано на рис. 1.
Чтобы убедиться в том, что протокол LLDP был включен на устройстве, введите команду show lldp в привилегированном режиме EXEC.
Для приобретения практических навыков настройки и проверки LLDP используйте инструмент проверки синтаксиса (см. рис. 2).
Если включен протокол LLDP, можно найти соседей определенного устройства с помощью команды show lldp neighbors. Предположим, что документация по топологии, показанной на рис. 1, отсутствует. Сетевой администратор знает только, что коммутатор S1 подключен к двум устройствам. С помощью команды show lldp neighbors сетевой администратор узнает о том, что у коммутатора S1 два соседних устройства: маршрутизатор и коммутатор.
Примечание. Буква "B" в столбце функции коммутатора S2 обозначает мост. В этих выходных данных слово bridge (мост) может также означать коммутатор.
По результатам выполнения команды show lldp neighbors можно построить топологию подключений коммутатора S1, как показано на рис. 2. Если нужна более подробная информация о соседних устройствах, можно воспользоваться командой show lldp neighbors detail, которая предоставляет такие сведения, как версии IOS, IP-адреса и функции соседних устройств.
Основным источником информации о времени в системе являются программные часы маршрутизатора или коммутатора, которые запускаются при загрузке системы. Важно, чтобы время на всех устройствах в сети было синхронизировано, поскольку все аспекты управления, безопасности, устранения неполадок и планирования сети требуют точных меток времени. Если время на устройствах не синхронизировано, определить порядок событий и их причину невозможно.
Отобразите часы на маршрутизаторе R1, используя параметр детального просмотра.
R1# show clock detail
R1#
R1# configure terminal
R1(config)# clock timezone PST -8
R1(config)# Clock summer-time PDT recurring
R1(config)# end
R1# show clock detail
R1# configure terminal
R1(config)# ntp server 209.165.200.225
R1(config)# end
R1# show clock detail
Проверьте правильность привязки маршрутизатора R1 к серверу NTP с IP-адресом 209.165.200.225.
R1# show ntp associations
Проверьте правильность синхронизации R1 с сервером NTP с IP-адресом 209.165.200.225.
R1# show ntp status
Вы успешно настроили и проверили NTP.
При возникновении определенных событий в сети сетевые устройства, используя доверенные механизмы, уведомляют администратора с помощью подробных системных сообщений. Эти сообщения могут быть некритическими или существенно важными. В распоряжении сетевых администраторов — различные варианты хранения, интерпретации и отображения этих сообщений, а также способы отправки уведомлений о сообщениях, которые могут оказать наибольшее влияние на сетевую инфраструктуру.
Термин syslog используется для описания стандарта. Он также используется для описания протокола, разработанного для этого стандарта. Протокол syslog был разработан для систем UNIX еще в 80-е гг. прошлого века, но был впервые документирован сообществом IETF под названием RFC 3164 только в 2001 г. Syslog использует порт UDP 514 для отправки сообщений с уведомлением о событиях по сетям IP на средства сбора сообщений о событиях, как показано на рисунке.
Syslog поддерживают многие сетевые устройства, включая маршрутизаторы, коммутаторы, серверы приложений, межсетевые экраны и др. Протокол syslog позволяет сетевым устройствам отправлять системные сообщения по сети на серверы syslog.
Существуют различные пакеты ПО сервера Syslog для Windows и UNIX. Многие из них бесплатны.
Служба журналирования syslog предоставляет три основные возможности:
По умолчанию в сообщениях журнала нет метки времени. Например, на рисунке интерфейс GigabitEthernet 0/0 маршрутизатора R1 отключен. Сообщение, зарегистрированное на консоли, не показывает, когда состояние интерфейса было изменено. Сообщения журнала должны иметь метку времени. Потому что, когда они отправляются следующему адресату, например на сервер системного журнала, появляется запись о создании сообщения.
Команда service timestamps log datetime позволяет принудительно отображать дату и время для зарегистрированных событий. Как показано на рисунке, теперь при повторном включении интерфейса GigabitEthernet 0/0 на маршрутизаторе сообщения журнала содержат дату и время.
Примечание. При использовании ключевого слова datetime часы на сетевом устройстве необходимо настроить либо вручную, либо с помощью NTP, как упоминалось ранее.
По умолчанию маршрутизаторы и коммутаторы Cisco отправляют на консоль сообщения журнала для всех уровней важности. На некоторых версиях IOS по умолчанию устройство также сохраняет сообщения журнала в буфер. Для включения этих двух параметров используйте команды logging console и logging buffered в режиме глобальной настройки соответственно.
Команда show logging отображает параметры по умолчанию службы ведения журнала, настроенные на маршрутизаторе Cisco, как показано на рисунке. Первые строки списка выходных данных содержат информацию о процессе ведения журналов. В конце списка выходных данных приведены сообщения журнала.
В первой выделенной строке указано, что данные журнала этого маршрутизатора отправляются на консоль и включают сообщения уровня отладки. Фактически это означает, что все сообщения уровня отладки, а также любые сообщения более низкого уровня (например сообщения уровня уведомления) отправляются на консоль. В большинстве маршрутизаторов с операционной системой Cisco IOS по умолчанию установлен уровень серьезности 7 (отладка). В выходных данных также отмечено, что было зарегистрировано 32 таких сообщения.
Во второй выделенной строке указано, что журнал этого маршрутизатора сохраняется во внутреннем буфере. Поскольку для этого маршрутизатора включено сохранение журнала во внутренний буфер, команда show logging также выводит сообщения из этого буфера. В конце выходных данных можно просмотреть некоторые зарегистрированные системные
Настройка маршрутизатора для отправки системных сообщений на сервер syslog, где они могут храниться, фильтроваться и анализироваться, выполняется в три шага:
Шаг 1. В режиме глобальной настройки используйте команду logging для настройки имени хоста адресата или IPv4-адреса системного журнала.
Шаг 2. Укажите, какие сообщения следует отправлять на сервер системного журнала с помощью команды режима глобальной настройки уровня logging trap. Например, чтобы отправлять только сообщения уровня 4 и ниже (0—4), используйте одну из следующих двух эквивалентных команд.
Шаг 3. При необходимости настройте интерфейс источника, используя команду режима глобальной настройки logging source-interface тип_интерфейса номер_интерфейса. Таким образом, можно настроить, чтобы пакеты syslog содержали адрес IPv4 или IPv6 конкретного интерфейса независимо от того, какой интерфейс используется для отправки пакета с маршрутизатора.
На рисунке 1 маршрутизатор R1 настроен для отправки сообщений журнала уровня 4 и ниже на сервер syslog по адресу 192.168.1.3. В качестве интерфейса источника настроен интерфейс G0/0. Интерфейс loopback создан, затем переведен в неактивное состояние, затем снова в активное. Эти действия отражены в выводе консоли.
Сервер системного журнала Tftpd32, показанный на рис. 2, настроен на компьютере Windows 7 с IPv4-адресом 192.168.1.3. Как можно видеть, на сервере Syslog отображаются только сообщения с уровнем важности 4 или меньше (более значимые). Сообщения с уровнем важности 5 или выше (менее значимые) отображаются в выходных данных консоли маршрутизатора, но не появляются в выходных данных сервера системного журнала, поскольку команда logging trap отбирает syslog-сообщения, отправляемые на сервер системного журнала, по степени важности.
Для просмотра любых зарегистрированных сообщений используйте команду show logging. Для буфера ведения журналов высокой емкости полезно использовать функцию конвейера (|) с командой show logging. Конвейер позволяет администратору более конкретно определить сообщения, которые следует отображать. Например, можно использовать символ вертикальной черты для фильтрации сообщений с помощью команды include changed state to up (см. рис. 1).
Чтобы просмотреть другой пример фильтрации, прокрутите вниз выходные данные на рис. 1. Чтобы просмотреть только те сообщения, которые были записаны в буфер не ранее 22:35 12 июня, можно использовать фильтр begin June 12 22:35.
Используйте средство проверки синтаксиса на рисунке 2 для настройки и проверки syslog на маршрутизаторе R1.