Автоматично пестене на конфигурацията на маршрутизатори Cisco (Cisco рутер довереник) - Разни - статия

Tags: Cisco, рутер, довереник, (намерите подобни документи)

Автоматично пестене на конфигурацията на Cisco маршрутизатори

Тази статия обяснява как да настроите автоматично
спестяване на конфигурация на мрежово оборудване под
управление и промяна Cisco IOS проследяване с помощта на СРС.

За да се реши този проблем има най-малко три програми (в допълнение към
скриптове, написани от мен) - ciscoconf (FreeBSD порт
/ ЮЕсАр / пристанища / нето-Управл / ciscoconf) и гранясало. Първо (ciscoconf)
копия на конфигурацията на конфигурацията на RSH и магазини СРС. негов
предимство - той може да направи това веднага след
Проследяване конфигурация вид в шев лог съдържащ
% SYS-5-CONFIG_I. Вторият (гранив) по-гъвкав и позволява
не работи само с Cisco оборудване. За работата си тя изисква
запазване на паролата по отношение на достъпа до конфигурационния Telnet и парола позволи. аз
Мисля, че за това е нежелателно поради съображения за безопасност. вече
след написването на сценария, се натъкнах на още един проект -
Панчо. Там също се копират конфигурации използват ~ SNMP + TFTP.

Настройване на TFTP сървър

Тук по-долу дава пример на FreeBSD. Ако
все още не е попълнил TFTP сървър след това сега е моментът да го направите. първи
добави система потребителското netmgr, при които работата ни ще
система (работи като корен на софтуер за работа, която не се нуждае от права
Ruta е лоша идея). Добавяне на ред в /etc/inetd.conf

TFTP dgram UDP чакане корен / ЮЕсАр / libexec / tftpd tftpd -s / Var / tftproot -u netmgr -l

tftpd: 192.168.1.64/255.255.255.248. позволи
tftpd: 192.168.2.0/255.255.255.240. позволи
tftpd: ALL. отричам

Не забравяйте, че тези линии трябва да бъдат
Намира се над линиите ВСИЧКИ. ALL. позволи, че по подразбиране е
в началото на /etc/hosts.allow.

След това създайте директория / Var / tftproot и има поддиректория
/ Var / tftproot / довереник магазин довереник. Собственик папка tftproot
направя netmgr 700 и определя правото да ограничи достъпа до конфигурационния файл,
който, между другото съдържа пароли. TFTP сървър позволява
запис само рано създаден файл, който има достъп до
Запис на потребителя, използвано за стартиране на tftpd:
докоснете / Var / tftproot / довереник / router1 докоснете / Var / tftproot / довереник / router2
chown netmgr / Var / tftproot / довереник / *

* Do Ping минава с Cisco на TFTP сървър

* Ли inetd порт 69 слуша:

# Sockstat -4l | Впиши: 69
корен inetd 3618 4 udp4 * 69 *: *

* Има ли трафика филтрира от 69 UDP порт на защитната стена.

* Какво е писано в ППФТ дневник: опашката / Var / дневник / xferlog

Създаване SNMP

Конфигуриране на достъп до рутера с SNMP на сървъра. създаване на ACL
които ще бъдат защитени достъп до SNMP пишат и ACL за ограничаване
сървъри, на които можете да копирате конфигурацията на TFTP. В този случай,
можете да направите една, а не две, но като цяло те могат и
варира:

достъп списък 10 забележка - домакини разрешено да пишете SNMP MIBs на рутера
достъп списък разрешение 192.168.1.1 10
достъп списък 10 отрече всякаква дневник
достъп списък 11 забележка - TFTP сървъри до / от които / качване е разрешено конфигурационния изтегляне
достъп списък 11 разрешение 192.168.1.1
достъп списък 11 отрече всякаква дневник

Посочете SNMP-общност (която играе ролята на парола) и ACL за
напиши достъп:

SNMP-сървър общност E9bJFckD RW 10

Посочете къде да се копира на конфигурацията на TFTP:

SNMP-сървър TFTP сървър-списък 11

За да тествате работата на модула и настройки преди това пиши
прост скрипт:

Config трябва да бъде копиран в / Var / tftproot / довереник / router1.

Script, за да копирате и довереник пространство в RCS

# ППФТ директория на сървъра, които са поставени довереник
ми $ реж = 'довереник ";

# Directory където RCS-файлове лежат
ми $ дом = '/ Начало / netmgr / ciscocong ";

# SNMP RW общност за котки
ми% общност = (
"192.168.2.1 '=>' E9bJFckD ',
"192.168.2.2 '=>' J0uSsO6Yt"
);

# хост имената за котки, въз основа на името на файла
моите домакини% = (
"192.168.2.1 '=>' router1 ',
"192.168.2.2 '=>' router2"
);

ми $ път = "/ ЮЕсАр / хамбар";

ми $ съобщение = "";

моето име $ = $ домакини # 123; $ IP # 125 ;;

# Ако конфигурационния файл в tftproot още, създайте го
ако (. -r "/ Var / tftproot / $ реж име / $") # 123;
система "$ път / докосване / Var / tftproot / $ реж / $ име";
# 125;

# Създаване и инициализиране на RCS файла, ако той не разполага
ако (. -R "$ HOME / име $, срещу") # 123;
система "$ път / RCS -q-T- име $ -i $ име дома / $, об / Var / tftproot / $ реж / $ име";
# 125;

# Махни от kofiga NTP часовник период, тъй като тази стойност се променя често
система "$ път / fgrep -v" NTP часовник-период "/ Var / tftproot / $ реж / име $> $ HOME / $ име";

# Изпращане на промените по пощата
ми $ сега = LOCALTIME;

отворена (MAIL "| $ път / поща -Е -s" Cisco конфигурационния разл ($ сега) "$ до") || умре "$ н!";
Разпечатай Изпрати съобщение $;
близо поща;

Т. к. Script съдържа RW SNMP-общността, да възложат го дясното 700, за да
Другите потребители няма да могат да го четат. Всички настройки
предписано в началото на скрипта. При добавяне на нов Cisco достатъчно
го регистрирате в общността и% Домакините на хешове%. За да тествате
стартирате скрипта, който да е промяна в Cisco и да започне отново.

Ако получите имейл. Сценарият е необходимо да се регистрирате в Cron потребител
netmgr. За една малка мрежа, с няколко промени достатъчно, за да стартирате
на всеки няколко часа:

# Изважда конфигурационния от Cisco, магазин в RCS и поща разл
3 * / 3 * /home/netmgr/fetchconf.pl

ПРИМЕР писма изгонени скрипт:

Малка бележка за безопасност - Защита на сървъра, на който
използвате този скрипт е необходимо да се обърне специално внимание на, защото ако
атакуващият получава пълен достъп до хост, той ще бъде в състояние да
TFTP копирате променената конфигурация на рутери и да получават такива
път пълен kontorl на всички рутери. това е желателно
да се постави такава система на сървър, който не трябва да се отвори
външни услуги (уеб, поща, FTP, и така нататък. д.)

Yuzhaninov Антон

Преглед на изчезналия Лет. Игри, направени без любов и старание, като балон - черупка е и празна отвътре. Lo.

Преглед на The Bridge "Top" и "дъното" в The Bridge - относително понятие. Разхождайки се през арката, можете лесно да Perey.

Преглед на SimCity преди Когато един месец, освобождаването на SimCity, интернет валцувани цунами на народния гняв - глупав Ош.

Преглед на Стратегията , Името на стратегия Тактика: Втората световна война едва ли някой познат. Но един поглед към нея Skree Township.

Преглед на играта Scrib. По традиция в игрите на информация за карти, ние представяме няколко примера за подобни игри.

Преглед на Walki на играта. Zombies и производство-на лицензи - които сами по себе си не са най-добрите представители на биосферата на игрите -.