ciscomaster.ru

Иногда у Администратора возникают ситуации когда необходимо посмотреть какие административные изменения производились в системе, кем и когда.
Данная статья описывает как включить и просматривать Audit logs в системе CUCM 6,7,8
В основном необходимость просмотра Audit logs возникает в больших организациях, когда права делегированы между несколькими администраторами. При аварийной ситуации это также полезно когда причиной аварии является человеческий фактор, т.е. чтобы посмотреть "что изменилось", быстро найти баг и исправить его.

Большинство сетей используют единый протокол IGP (RIP1/2, EIGRP, OSPF).
Но в ряде случаев возникают ситуации, когда внутри предприятия приходится работать более чем с одним протоколом динамической маршрутизации.
Это может быть следствие объединения предприятий, необходимость работы проприетарного cisco EIGRP с открытым OSPF.
Также, в некоторых случаях необходимо чтобы маршруты IGP должны быть отданы на BGP и наоборот.

В жизни к сожалению иногда приходится сталкиваться с ситуациями, когда на flash карте устройства нет валидной IOS.
Причины бывают разные - от выхода из строя Flash до "кривых рук", - в любом случае при отсутствии IOS машина загружает ROMmon.
xmodem может использоваться в случаях когда недоступна загрузка IOS по TFTP.
У меня подобное произошло когда я по ошибке на с3750 загрузил IOS c3750e.

Технология Etherchannel позволяет агрегировать от 2-х то 8 параллельных подключений, и создает единое логическое подключение с помноженной пропускной способностью и избыточностью подключений.
Все агрегированные порты должны принадлежать одной VLAN.
Чаще агрегируют транковые подключения, в этом случае все порты должны быть в trunked mode,
иметь одинаковую Native VLAN,а также пропускать одинаковый set of VLANs. Все порты должны иметь одинаковые настройки speed и duplex.

Настройка точного времени необходима в работе множества сетевых сервисов.
К примеру точные значения времени играют важную роль в различных сервисах безопасности, в отображении логов.
При использовании CUCME время отображается на телефонах, во временных метках голосовой почты или записях CDR.

Вообще мы можем настроить время двумя способами:
- Вручную, используя команду clock set
- Автоматически, использьзуя протокол NTP (Network Time Protocol)

Безопасность сети никогда не должна отходить на второй план.
Рассмотрим пример как можно перехватить трафик RTP или, попросту говоря, разговор IP телефонов.
Мы будем использовать свободно распространяемый сниффер Wireshark.
Для перехвата разговора нам нужно получить доступ к трафику RTP, т.е. к трафику между двумя IP телефонами.
В нашем случаем для этого нам необходимо зазеркалировать трафик с интерфейса одного из телефонов на интерфейс к которому подключена машина с Wireshark:

У нас есть кластер CUCM, как узнать статус репликации?
Это особенно важно перед различными обновлениями ПО, да и вообще крайне важно как параметр жизнеспособности системы.

Узнать статус мы можем из нескольких источников:
RTMT
RTMT (Real Time Monitoring Tool) - очень полезный инструмент не только для проверки репликации но и многих других задач.
На левой панели выбираем Call Manager, затем Database summary.
Нас интересует "replication status" - если его значение одинаковое для всех нодов, значит все нормально.

Существует шесть способов сбора логов с cisco маршрутизаторов:
1.Console logging — вывод сообщений на консоль маршрутизатора, т.е. для их чтения нужно быть подключенным к консоли.
2.Buffered logging — в этом случае все сообщения будут размещаться в RAM памяти маршрутизатора. Для этого необходимо настроить буфер для логов в маршрутизаторе, так же следует помнить что буфер ограничен и при большом количестве сообщений старые записи будут затёрты более новыми и будут потеряны.

Для настройки SSH2 необходимо дать команды:

router(config)#ip ssh version 2
router(config)#ip domain name my_domain.ru
Brouter(config)#crypto key generate rsa
The name for the keys will be: Bel_off_router.7k.ru
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

Рассмотрим подключение небольшого филиала компании.
Чаще всего используется выделенное подключение к провайдеру к примеру на 2Мбит.
В реальности где-нибудь в глубинке никто такую скорость гарантировать не может, максимум постоянно скачет, а канал не обеспечивает заявленную скорость. В результате часто сталкиваешься с задержками полезного трафика из-за того что какой-то пользователь что-то скачивает.
Технологии QOS работают только на отдачу и только в условиях контроля всех устройств стоящих на пути, что практически невозможно в данной ситуации.

Dynamic Multipoint VPN (DMVPN) - это VPN сеть с возможностью динамического создания туннелей между филиалами.
В отличие от обычных туннелей Point-To-Point DMVPN гораздо быстрее и удобнее настраивается когда нам необходимо иметь дело с большим количеством узлов. Кроме того с обычными PtP туннелями обычно используют топологию звезды, с центральным офисом в центре. Full mesh организовать с большим количеством офисов просто нереально, тогда как DMVPN обеспечивает создание динамических туннелей непосредственно из одного офиса в другой.

В среде Call Manager мы можем принимать входные звонки с использованием автоответчика или IVR.

Для организации IVR у нас есть несколько путей:

Мониторинг наличия и качества связи является важным инструментом администратора сети, т.к. он позволяет не только обнаруживать проблему, но и предвидеть возникновение самой проблемы.

В Cisco IOS встроены несколько тестов для определения состояния сети которые объдинены понятием SLA.
Вообще SLA расшифровывается как Service Level Agreements, что можно перевести как соглашения об уровне обслуживания.

Иногда необходимо определенным пользователям дать права на некоторые команды в CLI, но не давая полного административного доступа.

Ниже приведен пример решение для предоставления прав админу alex для изменения access-lists:

router(config)#enable secret pass1
router#enable view
Password:

Где пароль есть enable password

PRTG - очень удобная программа для мониторинга самых разных параметров устройств с помощью протокола SNMP.
Для настройки мониторинга через PRTG необходимо настроить SNMP в IOS:

access-list 5 permit host 10.0.0.1
snmp-server community cpass RW 5
snmp-server ifindex persist

Где 10.0.0.1 адрес сервера с PRTG
cpass - comunity name

При обновлении IOS это наиважнейший параметр, т.к. в случае если памяти окажется меньше чем требуется маршрутизатор попросту не загрузится.
Для определения мы используем команду show version
Мы должны найти строчку подобную выделенной в примере ниже.
Общая память разделена на два числа, поэтому нам нужно их сложить, в нашем случае получится:
44237K + 4915K = 49152K или 48Mb

Изначально нам должны прислать бумагу или файл содержащий описание и PAK Number.
- Заходим на http://www.cisco.com/go/license
- там вбиваем логин который нам выдала Cisco

Новые устройства Cisco, такие как 29ХХ, 39ХХ теперь имеют два разъема консоли: один традиционный COM, а второй в виде Mini-USB.
Действительно, уже мало современных компьютеров и тем более ноутбуков укомплектованы серийными интерфейсами. Мы конечно можем использовать переходник USB на COM, либо использовать подключение по USB.
Для того чтобы USB заработал необходимо установить драйвер эмуляции
Далее в Device Manager появится Cisco Serial где можно настроить номер порта.

Для повышенной надежности часто практикуют подключение к двум провайдерам одновременно.
Cisco IOS позволяет обеспечить автоматическое переключение с основного провайдера на резервный.

Мониторинг:
Для того чтобы понять работает интернет через ISP1 или нет, будем через него мониторить через пинг какой нибудь ресурс.
Возьмем к примеру внешний адрес 85.202.241.71
Для мониторнга этот ресурс необходимо смаршрутизировать только через ISP1
ip route 85.202.241.71 255.255.255.255 a.a.a.1

show control-plane host open-ports

show tcp brief all