PPt_4face_021208.jpg
© 2007 – 2016, Cisco Systems, Inc. All rights reserved.
Cisco Public
SWITCH v7.1 Chapter 7
‹#›
Cisco_NewLogo
Kapitola 7:
Network Management
CCNP  SWITCH: Implementing Cisco IP Switched Networks

Cisco Networking Academy Program
CCNP ROUTE: Implementing IP Routing
Chapter 1: Routing Services

Chapter 7 Objectives
§This chapter covers the following topics related to network management and mobility:
§AAA
§Identity-based networking 802.1X
§NTP
§SNMP

Chapter 1 Objectives

ss1
AAA


AAA
§■ Autentizace
•Autentizace je proces identifikace uživatele před tím, než je mu povolen přístup k chráněnému
zdroji.
§■ Autorizace
•Poté, co uživatel získá přístup k síti, provede se autorizace.
Autorizace umožňuje kontrolovat úroveň uživatelů přístupu
§■ Účetnictví (Accounting)
•Účetnictví se provádí po autentizaci. Účetnictví umožňuje shromažďovat informace o činnosti
uživatele a spotřebě zdrojů.
.

Výhody AAA
§Vyšší flexibility a řízení konfigurace přístupu
•AAA nabízí dodatečnou pružnost autorizace na úrovni příkazů či rozhraní, která není k dispozici u
lokálních pověření.
§Škálovatelnost
•Jak síť roste, správa velkého počtu uživatelů na více zařízeních se stává vysoce nepraktickou a
náchylnou k chybám, s velkým množstvím administrativní zátěže.
§Standardizované autentizační metody
•AAA podporuje protokol RADIUS, což je průmyslově otevřený standard. To zajišťuje interoperabilitu
a umožňuje flexibilitu, protože lze kombinovat různé dodavatele.
§Více zálohovacích (backup) systémů
•Při konfiguraci autentizace lze určit více serverů a ty kombinovat v rámci skupiny.

RADIUS a TACACS+ – přehled
§RADIUS a TACACS+ jsou AAA protokoly.
§Oba používají model klient/server.
§Uživatel resp. počítač odešle požadavek (1) na síťové zařízení, jako je například směrovač, který
při spuštění AAA funguje jako server pro přístup k síti.
§Server pro přístup k síti pak komunikuje (2, 3) se serverem, který si vyměňuje zprávy RADIUS nebo
TACACS +.
§Pokud je ověření úspěšné, je uživateli uděleno (4) přístup k chráněnému zdroji (5), např. k CLI
zařízení, síti atd.

•Cisco implements the AAA server functionality in the Cisco Secure Access Control Server (ACS) and
Identity Services Engine (ISE), for example.

TACACS+ versus RADIUS



RADIUS – Autentizační proces (nad UDP)
Autentizační a autorizační údaje jsou kombinovány v jediném paketu Access-Request.
Tento paket obsahuje uživatelské jméno, šifrované heslo, adresu IP serveru NAS a číslo portu NAS.
Páry AV attribut – value
https://www.cisco.com/en/US/products/sw/secursw/ps2086/products_user_guide_chapter09186a008007e364.
html
https://www.iana.org/assignments/radius-types/radius-types.xhtml

•1 - RADIUS authentication process between the NAS and RADIUS server starts when a client sends a
login request in the form of an Access- Request packet. This packet contains a username, encrypted
password, the NAS IP address, and the NAS port number.
•2 - When the RADIUS server receives the query, it first compares the shared secret key sent in the
request packet with the value configured on the server. When shared secrets are not identical, the
server silently drops the packet. This ensures that only authorized clients can communicate with
the server. If shared secrets are identical, the packet is further processed, comparing the
username and password inside the packet with those found in the database.
•If a match is found, the server returns an Access-Accept packet with a list of attributes to be
used with this session in the form of AV pairs (IP address, access control list [ACL] for NAS). If
a match is not found, however, the RADIUS server returns an Access-Reject packet. It is important
to notice that authentication and authorization phases are combined in a single Access-Request
packet, unlike TACACS+.
•During the authentication and authorization phase, an optional Access-Challenge message may be
requested by the RADIUS server with the purpose of collecting additional data (PIN, token card, and
so on), further verifying the client’s identity.
•Moreover, the accounting phase is realized separately after the authentication and authorization
phases, using Accounting-Request and Accounting-Response messages.

TACACS+ – Autentizační proces (nad TCP)
§

•TACACS+ communication between the NAS and the TACACS+ server starts with a TCP communication,
unlike RADIUS (which uses UDP).
•Next, the NAS contacts the TACACS+ server to obtain a username prompt, which is then displayed to
the user. The username entered by the user is forwarded to the server.
•The server prompts the user again, this time for a password. The password is then sent to the
server, where it is validated against the database (local or remote).
•If a match is found, the TACACS+ server sends an ACCEPT message to the client, and the
authorization phase may begin (if configured on the NAS). If a match is not found, however, the
server responds with a REJECT message, and any further access is denied.

Konfigurace AAA
§Pro povolení AAA je prvním krokem konfigurace příkazu aaa new-model v režimu globální konfigurace.
§Tento krok v podstatě nastavuje možnosti AAA.
§Pokud není tento příkaz povolen, jsou všechny ostatní příkazy AAA skryty.
§
§Příkaz aaa new-model okamžitě aplikuje lokální ověřování na všechny řádky a rozhraní (kromě řádku
konzoly con 0).
§Chcete-li se vyhnout zablokování směrovače, je nejlepším postupem definovat lokální uživatelské
jméno a heslo před spuštěním konfigurace AAA.

Konfigurace RADIUS přístupu
§Switch(config)# radius server configuration-name
§Switch(config-radius-server)# address ipv4 hostname [auth-port integer ] [ acct-port integer]
§Switch(config-radius-server)# key string
§Switch(config)# aaa group server radius group-name
§Switch(config-sg-radius)# server name configuration-name
Specifikace zákaznického portu je volitelná

•Configuration-name is just a text identifier for the server in question. In the subconfiguration,
the DNS hostname or the IP address is specified.
•Specification of a custom port number for the UDP communication is optional and rarely used for
the case of leveraging nondefault ports.
•The key string specifies the authentication and encryption key used between the access device and
RADIUS server.
•The next step is to add the RADIUS server to a server group. You can add multiple RADIUS servers
to a group, as long as they were previously defined using the radius server command

Aplikace metod RADIUSu na vty
§Switch(config)# aaa authentication login radius_list group Mygroup2 local
§Switch(config)# line vty 0
§Switch(config-line)# login authentication radius_list

Konfigurace TACACS+ pro konzolový a vty přístup
§Switch(config)# tacacs server configuration-name
§Switch(config-server-tacacs)# address ipv4 hostname
§Switch(config-server-tacacs)# port integer
§Switch(config-server-tacacs)# key string
§Switch(config)# aaa group server tacacs+ group-name
§Switch(config-sg-tacacs+)# server name configuration-name

•The configuration-name is just a text identifier for the server in question. In the
subconfiguration, the DNS hostname or the IP address of the server is specified.
•Specification of a custom port number for the TCP communication is optional and used in the case
of leveraging nondefault ports.
•The key string specifies the authentication and encryption key used between the access device and
TACACS+ server.

AAA autorizace
§Kroky konfigurace autorizace:
§Krok 1. Uveďte seznam autorizačních metod.
§Krok 2. Aplikujte seznam těchto metod na jedno či více rozhraní (vyjma seznamu defaultních metod).
§Krok 3. Je použita první uvedená metoda. Pokud neodpoví, použije se druhá a tak dále, dokud nejsou
vyčerpány všechny uvedené metody. Jakmile je seznam metod vyčerpán, je zaznamenána zpráva o poruše.

§Switch(config)# aaa authorization authorization-type list-name method-list
§Switch(config)# line line-type line-number
§Switch(config)# authorization { arap | commands level | exec | reverse-access } list-name

• arap               For Appletalk Remote Access Protocol
• commands    For exec (shell) commands
• exec               For starting an exec (shell)
• reverse-access  For reverse telnet connections

AAA Accounting
§Účetnictví AAA má stejná pravidla a konfigurační kroky jako autentizace a autorizace:
Krok 1. Nejprve musíte definovat pojmenovaný seznam účetních metod.
Krok 2. Použijte tento seznam na jedno nebo více rozhraní (kromě defaultního seznamu metod).
Krok 3. Je použita první uvedená metoda; pokud neodpoví, použije se druhá a tak dále.
§Switch(config)# aaa accounting accounting-type list-name { start-stop | stop-only | none }
method-list
§Switch(config)# interface interface-type interface-number
§Switch(config-if)# ppp accounting list-name

Omezení pro TACACS+ a RADIUS
§RADIUS nemusí být optimální v následujících situacích:
•Situace komunikace zařízení – zařízení
•    (RADIUS nenabízí obousměrné ověřování).
•Sítě využívající více služeb
•    (RADIUS obecně váže uživatele na jeden model služby).
§
§TACACS+ nemusí být optimální v následujících situacích:
•Multivendorové prostředí
•    (TACACS+ je proprietární protokol společnosti Cisco)
•Když se jedná o rychlost reakce ze služeb AAA
(TACACS+ používá TCP jako mechanismus transportního protokolu).


.
.
.
.

•Device-to-device situations
•RADIUS does not offer two-way authentication. It works strictly in a client/server mode, where
authentication may be started only from the client side and where the server always authenticates
the client. If you have two devices that need to mutually authenticate each other, RADIUS is not an
appropriate solution.
•Networks using multiple service
•RADIUS generally binds a user to a single service model. An Access-Request RADIUS packet contains
information about a type of session you want to use. Two session types may be initiated: character
mode (used for the Telnet service) and PPP mode (used for PPP). In character mode, your session
will typically terminate on a device for the administrative purposes (for example, to access the
CLI). In PPP mode, your session will terminate on a NAS, but your goal is to access network
resources behind the NAS. A single RADIUS server cannot bind a user simultaneously to character and
PPP mode.
•Multivendor environment
•TACACS+ is a Cisco proprietary protocol developed as a completely new version of the older TACACS
protocol. Some vendors may not support it even though Cisco has published TACACS+ specification in
a form of a draft RFC.
•When speed of response from the AAA services is of concern
•TACACS+ uses TCP as a transport protocol mechanism. TCP is a connection-oriented protocol, which
means that a connection between two endpoints has to be established before the data can start to
flow. On legacy devices, this mechanism may have higher latency, and TACACS+ might not be the best
option if you need fast response from the AAA services. When using current-generation network
devices and AAA servers, this is not an issue.

ss2
Identity-Based Networking


Identity-Based Networking
§Identity-based networking (síť založená na identitě) je koncept, který spojuje několik funkcí,
které zahrnují autentizaci, řízení přístupu, mobilitu a součásti zásad uživatelů s cílem poskytovat
a omezovat uživatele se síťovými službami, na které mají nárok.
§
§Z pohledu přepínače vám síť založená na identitě umožňuje ověřit uživatele po připojení k portu
přepínače.


.
.
.
.


.
.
.
.

•From a switch perspective, identity-based networking allows you to verify users once they connect
to a switch port. Identity-based networking authenticates users and places them in a specific VLAN
based on their identity. Should any users fail to pass the authentication process, that user’s
access can be rejected, or he might simply be put in a guest VLAN.

IEEE 802.1X Port-Based Autentizace
§Dokud není klient autentizován, řízení přístupu 802.1X umožňuje, aby pouze provoz EAPOL, CDP a STP
procházel portem, ke kterému je klient připojen. Po úspěšném ověření může příslušným portem projít
běžný provoz.
.

Model klient/server protokolu 802.1X
§Klient
•Obvykle pracovní stanice nebo notebook s klientským softwarem kompatibilním s 802.1X.
•Většina moderních operačních systémů zahrnuje nativní podporu 802.1X.
•Klient je v terminologii 802.1X označován také jako žadatel.
§Autentikátor
•Obvykle hraniční přepínač nebo bezdrátový přístupový bod (AP), autentizátor řídí fyzický přístup k
síti na základě ověřovacího statusu klienta.
•Authentikátor obsahuje klienta RADIUS, který je zodpovědný za zapouzdření a dekomulaci rámců
protokolu EAP (Extensible Authentication Protocol) a interakci s ověřovacím serverem.
§Autentizační server
•Server, který provádí skutečné ověření klienta.
•Server RADIUS s příponami (extensions) EAP je v současné době jediným podporovaným autentizační
serverem.

802.1X Port-Based Authentication
§


802.1X – konfigurační příklad
§Nelze na rozhraní vydávat příkazy dot1x, pokud předtím není nastaven switchport mode.
§
§Defaultní stav portů přepínačů se liší mezi přepínači, ale není běžně nastaven na režim access.


.
.
.
.


.
.
.
.

ss3
Network Time Protocols


Proč přesný čas
§Potřeba přesného času se každým rokem zvyšuje.
§Koordinační události, logování značek a skripty, které jsou založeny na systémových hodinách.
§Proto se v dnešní síti zvyšuje význam koordinace systémových hodin a jejich přesnosti.
§Z hlediska nejlepší praxe se doporučuje nastavit hodiny na všech síťových zařízeních na UTC bez
ohledu na jejich umístění a poté nakonfigurovat časové pásmo, aby se v případě potřeby zobrazil
místní čas.

Manuální konfigurace systémových hodin
§


Nastavení letního času
§clock summer-time zone recurring [ week day month hh:mm week day month hh:mm [offset]]
§
§clock summer-time zone date date month year hh:mm date month year hh:mm [ offset ]
§
§clock summer-time zone date month date year hh:mm month date year hh:mm [ offset ]
§
§https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4000/8-2glx/configuration/guide/ntp.htm
l

Nastavení letního času
§


Network Time Protocol – přehled
§Ruční nastavení hodin libovolného síťového zařízení není ani přesné ani škálovatelné.
§Nejlepším postupem je použití protokolu NTP (Network Time Protocol), jednoduchého protokolu NTP
(SNTP) nebo protokolu PTP (Precision Time Protocol).
§NTP je navržen tak, aby synchronizoval čas v celé síťové infrastruktuře, včetně serverů,
přepínačů, směrovačů, hostitelských počítačů, bezdrátových přístupových bodů, zdroje
nepřerušitelného napájení (UPS) a tak dále.
§NTP standardně využívá UDP port 123 pro zdroj i cíl.


.
.
.
.


.
.
.
.


.
.
.
.


.
.
.
.

•Sample NTP setup where the NTP is sourcing time from an atomic clock, Global Positioning System
(GPS), or other accurate time source and sending NTP info out on the network to synchronize
devices.

Network Time Protocol – přehled
§Síť NTP obvykle získá svůj referenční čas z autoritativního zdroje času, jako jsou rádiové hodiny,
GPS nebo atomové hodiny připojené k časovému serveru NTP někde v síti.
NTP pak tento čas distribuuje po síti.
§Přesné měření času je umožněno výměnou zpráv NTP mezi jednotlivými dvojicemi strojů (server /
klient).
§V prostředí sítě LAN však může být služba NTP nakonfigurována tak, aby místo ní použila broadcasty
IP.
§Chcete-li zachovat přesnost času, NTP používá koncept stratum k popisu, kolik NTP skoků je od
autoritativního zdroje času.
§Stroj s NTP automaticky vybere stroj s nejnižším číslem vrstvy.


.
.
.
.


.
.
.
.


.
.
.
.


.
.
.
.

NTP: Stratum
•NTP se vyhne dvěma způsoby synchronizace se strojem, jehož čas nemusí být přesný.
•NTP se nikdy nesynchronizuje se strojem, který není sám synchronizován.
•NTP porovnává čas, který je hlášen několika stroji, a nebude synchronizován se strojem, jehož čas
se výrazně liší od času ostatních, i když je jeho vrstva nižší.


.
.
.
.


.
.
.
.


.
.
.
.


.
.
.
.

Role NTP
§Zařízení může mít současně více než jednu roli.
§Server
•Poskytuje přesné časové informace klientům v síti.
§Klient
•Synchronizuje svůj čas se serverem NTP. Tento režim je nejvhodnější pro klienty souborových
serverů a pracovních stanic, kteří nejsou povinni poskytovat žádnou formu synchronizace času
ostatním lokálním klientům. Může také poskytovat přesný čas dalším zařízením.
§Peers
•Pouze si vyměňují informace sloužící pro symchronizaci času. Ten z nich, který má nejpřesnější
čas, je server a ostatní klienti.
§Broadcast/multicast
§Speciální „push“ režim NTP serveru, který se používá pokud je místní LAN zaplavena aktualizacemi.
Používá se pouze tehdy, není-li časová přesnost problém.

Příklad NTP



Dvě fáze procesu postupné konvergence
§V případě velkých rozdílů (nad 128 ms) dochází k tzv. skokové (stepping) synchronizaci. Ta zaručí
okamžité srovnání času-
§V případě menších rozdílů probíhá tzv. slewing (přibližování).
§Když je rozdíl větší než cca 17 minut, výsledkem je konec aplikace na straně klienta a chybové
hlášení informující o tom, že není něco v pořádku.

Verifikace NTP
§


Nastavení a verifikace Clock Time Zone a Daylight Savings Time



Downstream NTP – příklad
§
§

Plochá (flat) struktura
§S plochou strukturou jsou všechny směrovače nakonfigurovány tak, aby se navzájem sledovaly jako
NTP peers. Každý router bude fungovat jako klient i server s každým dalším směrovačem. Dva nebo tři
směrovače by měly být nakonfigurovány tak, aby synchronizovaly svůj čas s externími časovými
servery a tím je zajištěna redundance externích časových serverů.
§
§Tento model je velmi stabilní, protože každé zařízení se synchronizuje s každým dalším zařízením v
síti. Nevýhodami jsou obtíže při administraci, pomalé konvergence a špatná škálovatelnost.
§
§Pokud přidáte zařízení do sítě, může vám dlouho trvat, než identifikujete všechna ostatní zařízení
a nahlédnete do nového zařízení. Vzhledem k tomu, že všechna zařízení ve vztahu peer-to-peer mají
slovo při výběru nejlepšího času, může chvíli trvat, než se směrovače shodnpu na přesném čase.
§
§Závěr: plochá struktura NTP se nedoporučuje pro velké sítě.
§

Hierarchická implementace NTP
§Pro velké sítě je nejlepším postupem implementovat NTP hierarchicky.
§Poskytovatelé internetových služeb (ISP) používají tento typ hierarchického modelu pro škálování
časové synchronizace.
§Každý ISP má několik serverů úrovně stratum 1, které jsou synchronizovány s jinými zařízeními ISP,
a poskytovatel služeb Internetu nakonec poskytuje služby synchronizace času pro zařízení zákazníků
na okraji sítě. Okrajové zákaznické zařízení pak poskytuje časovou synchronizaci zbytku interní
zákaznické sítě.
§Výsledkem je, že tento odstupňovaný model spotřebovává méně administrativní režie a časová
konvergence je minimalizována, protože každý zákaznický okrajový směrovač není spojen s každým
jiným zákaznickým okrajovým směrovačem. Pro velké podnikové sítě má smysl implementovat podobnou
hierarchii synchronizace NTP.
§

Hybridní model
§Hybridní model je označován jako struktura hvězd, kde všechna zařízení v síti mají vztah s
několika časovými servery v jádru.
§

Ilustrace návrhových principů NTP
§

•With a flat structure, all routers are configured to peer to each other as NTP peers. Each router
will act both as a client and server with every other router. Two or three routers should be
configured to synchronize their time with external time servers as a best practice to ensure
redundancy to external time servers.
•This model is very stable because each device synchronizes with every other device in the network.
The disadvantages are difficulty of administration, slow convergence times, and poor scalability.
If you add a device to the network, it can take you a good amount of time to identify all other
devices and peer them with the new device. Because all devices in a peer-to-peer relationship have
a say in selecting the best time, it can take some time for the routers to converge on an accurate
time.
•As a result, a flat NTP structure is not recommended for large networks. For large networks, it is
a best practice to implement NTP in a hierarchical manner.
•Internet service providers (ISPs) use this kind of hierarchical model to scale time
synchronization.
•Each ISP has multiple stratum 1 servers that synchronize to other ISP devices, and the ISP
ultimately provides time synchronization services to customers’ devices on the edge of the network.
The edge customer device then provides time synchronization to the rest of the internal customer
network.
•As a result, this tiered model consumes less administrative overhead and time convergence is
minimized because every customer edge router is not associated with every other customer edge
router. For large enterprise networks, it makes sense to implement a similar hierarchy of NTP
synchronization.
•A hybrid design of flat and hierarchical is referred to as a star structure, where all devices in
a network have a relationship with a few time servers in the core. Figure 7-10 shows an example of
a star design.

Zabezpečení NTP
§Kroky ověřování NTP:
§Krok 1. Definujte NTP ověřovací klíč nebo klíče příkazem ntp autentication-key. Každé číslo určuje
unikátní klíč NTP.
§Krok 2. Povolte autentizaci NTP pomocí příkazu ntp authenticate.
§Krok 3. Řekněte zařízení Cisco, které klíče jsou platné pro ověřování NTP pomocí příkazu ntp
trusted-key. Jediným argumentem tohoto příkazu je klíč, který jste definovali v prvním kroku.
§Krok 4. Určete server NTP, který vyžaduje ověření pomocí příkazu ntp server ip-address key
key-number. Podobně můžete ověřit totožnost NTP pomocí příkazu ntp peer ip-key key-number.

•Note that Cisco devices support only message digest 5 (MD5) algorithm authentication for NTP.

NTP Authentication Example
§


Čtyři omezení pomocí NTP ACL
§Peer
•Jsou povoleny požadavky na synchronizaci času a kontrolní dotazy. Zařízení se může synchronizovat
se vzdálenými systémy, které vyhovují ACL.
§Server
•Jsou povoleny požadavky na synchronizaci času a kontrolní dotazy. Zařízení není dovoleno
synchronizovat se se vzdálenými systémy, které splňují ACL.
§Server-only
•Pouze povoluje synchronizační požadavky.
§Query-only
•Umožňuje pouze kontrolní dotazy.

•As mentioned previously, once a Cisco router or switch has be
•Jsou povoleny požadavky na synchronizaci času a kontrolní dotazy. Zařízení se může synchronizovat
se vzdálenými systémy, které procházejí seznamem přístupů.
.


.
.
.
.


.
.
.
.


.
.
.
.


.
.
.
.
.


.
.
.
.


.
.
.
.


.
.
.
.


.
.
.
.
•en synchronized to an NTP source, the Cisco router or switch will act as an NTP server to any
device that requests NTP synchronization

Příklad NTP ACL



NTP Source Address – zdrojová adresa
§Zdroj paketu NTP bude stejný jako rozhraní, na kterém byl paket odeslán.
§Při implementaci ověřovacích a přístupových seznamů je dobré mít specifické rozhraní, které bude
fungovat jako zdrojové rozhraní pro NTP.
§Bylo by moudré zvolit rozhraní feedbacku pro použití jako zdroj NTP. Je to proto, že feedback
nikdy nebude jako fyzická rozhraní.
§Pokud jste nakonfigurovali loopback 0, aby fungoval jako zdroj NTP pro veškerou komunikaci a toto
rozhraní má například IP adresu 192.168.12.31, můžete zapsat pouze jeden přístupový seznam, který
povolí nebo zakáže na základě jedné IP adresy.
.


.
.
.
.


.
.
.
.


.
.
.
.


.
.
.
.

•SW-ACAD-ROOT(config)#ntp source interface-type interface-number

Verze NTP
§NTPv4 je rozšíření NTP Version 3. NTPv4 podporuje IPv4 a IPv6 a je zpětně kompatibilní s NTPv3.
§
§NTPv4 přidává následující možnosti:
§Podpora IPv6
§Vyšší úroveň bezpečnosti
§Preferuje multicast před broadcastem pro push módy

Switch(config)# ntp server 2001:DB8:0:0:8:800:200C:417A version 4
NTPv4 provides the following capabilities:
•NTPv4 supports IPv6, making NTP time synchronization possible over IPv6.
•Security is improved over NTPv3. The NTPv4 protocol provides a whole security framework based on
public key cryptography and standard X509 certificates.
•Using specific multicast groups, NTPv4 can automatically calculate its timedistribution hierarchy
through an entire network. NTPv4 automatically configures the hierarchy of the servers to achieve
the best time accuracy for the lowest bandwidth cost. This feature leverages site-local IPv6
multicast addresses.

NTPv4 poskytuje následující možnosti:
§NTPv4 podporuje IPv6, což umožňuje synchronizaci času NTP přes IPv6.
•Switch (config) # ntp server 2001: DB8: 0: 0: 8: 800: 200C: 417A version 4
§
§Bezpečnost je zlepšena oproti NTPv3. Protokol NTPv4 poskytuje celý bezpečnostní rámec založený na
kryptografii veřejného klíče a standardních certifikátech X509.
§
§Pomocí specifických skupin multicast vysílání může NTPv4 automaticky vypočítat svou hierarchii
časového rozdělení prostřednictvím celé sítě.
§
§NTPv4 automaticky konfiguruje hierarchii serverů tak, aby bylo dosaženo nejlepší časové přesnosti
při nejnižších nákladech na šířku pásma. Tato funkčnost využívá lokální IPv6 multicast adresy.

ss2
SNMP


Obsah kapitoly SNMP
§Role SNMP
§Rozdíly mezi verzemi SNMP
§Praktická doporučení pro nastavení SNMP
§Konfigurační příkazy pro SNMP Version 3
§Verifikace konfigurace SNMP

Přehled SNMP
§SNMP se sklásá ze dvou komponent:
§Manager SNMP, který periodicky dotazuje agenty SNMP na spravovaných zařízeních dotazem na zařízení
pro data. Periodická výzva má nevýhodu: Mezi skutečným výskytem události a časem, kdy správce SNMP
dotazuje data, dochází ke zpoždění.
§Agenti SNMP na spravovaných zařízeních shromažďují informace o zařízení a převádějí je do
kompatibilního formátu SNMP podle MIB. MIB jsou kolekce definic spravovaných objektů. Agenti SNMP
uchovávají databázi hodnot definic zapsaných v MIB.
§
§
§
§.

•SNMP has become the standard for network management. SNMP is a simple, easy-toimplement protocol
and is thus supported by nearly all vendors.
•SNMP defines how management information is exchanged between SNMP managers and SNMP agents. SNMP
uses the UDP transport mechanism to retrieve and send management information, such as Management
Information Base (MIB) variables that contain information about the platform.

Procesy SNMP

•Therefore, SNMP polling is typically used to gather environment and performance data such as
device CPU usage, memory usage, interface traffic, interface error rate, and so on. Free and
enterprise-level NMS software bundles provide data collection, storage, manipulation, and
presentation. An NMS offers a look into historical data, in addition to anticipated trends.
•An NMS often supports a central view that provides an overview of the entire network to easily
identify irregular events, such as increased traffic and devices unavailability due to DoS attacks.
•These notifications are crucial to responding to attacks quickly.

SNMP Versions
§Version 1
•Pět typů zpráv
•Get Request,
•Get Next Request
•Set Request
•Get Response
•Trap.
•Dnes řídce se vyskytující verze.
§Version 2
•Zavádí nové zprávy
•Get Bulk Request,
•Inform Request, typ trapu očekávající potvrzení.
•Version 2 přidala 64-bit čítač pro zvýšení rychlosti na rozhraních.
•Přidal bezpečnostní model, který nebyl šířeji akceptovaný.
§Version 2c
•Community-based SNMP Version 2, je široce akceptovatelné
•Community-based version of SNMP je nedostatečně bezpečné.
§Version 3
•Doplnění bezpečnosti.

Bezpečnost SNMPv3
§SNMPv3 podporuje následující tři úrovně bezpečnosti:
§noAuthNoPriv
•Žádná autentizace a žádné šifrování není povoleno.
§authNoPriv
•Autentizace je založena na Hashed Message Authentication Code (HMAC), MD5, nebo Secure Hash (SHA).
Šifrování není poskytnuto.
§authPriv
•Autentizace je doplněna šifrováním CBC-DES.

Chybná konfigurace z hlediska bezpečnosti
§router ospf 100
 redistribute connected metric 100 metric-type 1 subnets
 redistribute static metric 100 metric-type 1 subnets
 passive-interface Ethernet0
 network 10.0.144.0 0.0.0.255 area 9
 area 9 nssa
!
no ip classless
logging buffered alerts
logging console informational
logging 10.192.17.3
access-list 1 permit 10.132.36.16
access-list 1 permit 10.132.37.11
access-list 1 permit 10.132.37.3
access-list 2 permit 10.0.0.0 0.255.255.255
snmp-server community public RW 1
snmp-server trap-source Loopback1
snmp-server packetsize 8192
snmp-server trap-authentication
snmp-server queue-length 50
snmp-server enable traps isdn
snmp-server enable traps config
snmp-server enable traps bgp
snmp-server enable traps frame-relay
snmp-server host 10.192.17.3 public tty snmp

Nejlepší praktiky SNMP
§Omezení přístupu na read-only.
§Použití práva write access s oddělenými kredity.
§Nastavení SNMP views na nezbytný přístup do MIB.
§Konfigurace ACLs pro omezení SNMP přístupu.
§Použití SNMPv3 autentizace, šifrování a kontroly integrity kdekoliv to lze.

Konfigurační kroky SNMPv3
§Step 1. Configure an access list to be used to restrict subnets for SNMP access.
§Step 2. Configure the SNMPv3 views to limit access to specific MIBs.
§Step 3. Configure the SNMPv3 security groups.
§Step 4. Configure the SNMPv3 users.
§Step 5. Configure the SNMPv3 trap receivers.
§Step 6. Configure ifindex persistence to prevent ifindex changes.

Konfigurace SNMPv3

•The next step is to configure the restrictions to the MIBs. In Example 7-21 , a text label of OPS
was configured for both the read and write view for the group groupZ. As in the example, only
specific object identifiers (OIDs) are allowed in the view. For the example, the permitted OIDs
system uptime, interface status, and descriptions were added.
•The SNMPv3 group is configured with the authPriv security level ( snmp-server group groupZ v3 priv
), and the user for that group ( snmp-server userZ groupZ ) with passwords for both authentication
( auth sha itsasecret ) and encryption ( priv aes 256 anothersecret ).
•The configuration example then enables SNMP traps with the snmp-server enable traps command. Traps
are sent to an NMS or equivalent server; therefore, the receiving SNMP manager has to be
configured. From the example, SNMPv3 traps will be sent to address 10.1.1.50 ( snmp-server host
10.1.1.50 traps ) using the user with the authPriv security level ( priv ). You can also limit
events for which traps are sent. In the example, the traps are limited to CPU and port
security-related events ( cpu port-security ).

Bezpečnostní konfigurace
§Skupina SNMPv3 je konfigurována s úrovní zabezpečení authPriv (snmp-server group groupZ v3 priv) a
s uživatelem této skupiny (snmp-serverZ userZ groupZ) s hesly pro ověřování (auth sha itsasecret) a
šifrování (priv aes 256 anothersecret).
§Příklad konfigurace pak povolí SNMP trapy pomocí příkazu snmp-server enable traps. Trapy jsou
odesílány na NMS nebo ekvivalentní server; proto musí být konfigurován přijímající SNMP manažer. Z
příkladu budou SNMPv3 trapy odeslány na adresu 10.1.1.50 (snmp-server host 10.1.1.50 traps) pomocí
uživatele s úrovní zabezpečení authPriv security level (priv).
§Můžete také omezit události, pro které jsou odesílány trapy. V tomto příkladu jsou trapy omezeny
na události související s CPU a zabezpečením portu (cpu port security).

Příkazy SNMP
§


Souhrn kapitoly 7
§Funkce AAA zahrnují autentizaci, autorizaci a účetnictví. Využití AAA je vyžadováno téměř ve všech
sítích kampusu, protože zajišťuje a zajišťuje administrativní řízení a protokolování uživatelského
přístupu k síťovým zařízením a samotné síti.
§Síť založená na identitě využívá protokoly 802.1X pro podporu mobility, zabezpečení, autentizace a
autorizace uživatelů k síťovým prostředkům.
§Přesný čas je nezbytný pro služby zaznamenávání času v sítích kampusu, stejně jako mnoho
bezpečnostních funkcí, jako je šifrování.
§Všechny přepínače Cisco Catalyst podporují NTP pro synchronizaci času.
§NTP obecně dosahuje přesnosti v milisekundách v sítích LAN.
§SNMP je light protokol, který nejen monitoruje a kontroluje zařízení, ale také podporuje
upozornění na události.
§SNMPv3 je doporučení pro osvědčené postupy pro SNMP; nepoužívejte SNMPv2 (nebo v1), pokud je to
možné (z důvodu nedostatku bezpečnostních funkcí).
§Bezpečnost v okolí SNMP musí být považována za součást implementačního plánu. Minimálně použijte
ověřování a šifrování spolu s omezeným přístupem pro zápis a IP ACL, abyste omezili přístup k síti.
§
§
§

§CCNPv7.1 SWITCH Lab7.1 NTP
§CCNPv7.1 SWITCH Lab7.2 SNMP
Chapter 7 Labs