IP services (FHRP/Syslog/SNMP/Netflow) Flashcards
Como eh feita a comunicacao HSRP (padroes)
MAC
Comunicacao entre roteadores via multicast (hello)
- 0.0.2 v1
- 0.0.102 v2
Hello - Eleicao do ativo (3segundos / 10segundos
MAC -24bits iniciais OUI
16bits Well Known MAC
8bits HSRP group number
000:0C - Cisco
07:ac/ 9f:f0 HSRPv1/v2
0a - group 10
Maneiras de se obter msgs de log/ verificacao
sh loggin
loggin monitor -> envia msg de log p todos os usuarios logados
Console (padrao) - no logging console
Buffer RAM (padrao) - no loggin buffer
Terminal lines - terminal monitor
Servidor - loggin [ip]
Protocolos FHRP (portas e protocolo)
VRRP(v1/v2) - UDP 1985 A versao 2 permite que os timers sejam configurados em milisegundos
HSRP - UDP 1985
GLBP - UDP 3222
configuracao NetFlow
(config-if) ip flow ingress
(config-if) ip flow egress
(config) ip flow-export destination [ip] [porta]
(config) ip flow-export version [1,5,9]
(config) ip flow-export source loopback 0
Configuracao e padroes (grupos, prioridade e timer)
(config-if) standby [group] ip [ip_virtual] - Cria o grupo
(config-if) standby [group] name [nome]
(config-if) standby [group] priority [X]
(config-if) standby [group] timers msec 200 msec 700
(config-if) standby [group] preempt
(config-if) standby [group] track [interface]
quantidade max de grupos 256 (0-255) HSRP v1
max de 4096 grupos HSRP v2
prioridade padrao -100
timer padrao 3s e 10s (3x padrao)
usualmente se troca os timers p 200 e 700 msec
O roteador q for configurado primeiro sera o ativo intemendentemente da prioridade
Interface tracking: qndo o link externo do roteador fica inativo, sua prioridade diminui e o standby assume
(config-if) standby 1 track serial 0/0/1
verificacao hsrp
show standby
show standby brief
debup standby
comandos para verificar e setar o nivel de seguranca
sh logging - visualiza os buffers
logging trap [0-7]/[nome_severidade]
service timestamps log datetime msec
service sequence-numbers
Caracteristicas HSRP
Ate 8 roteadores
Proprietario CISCO
Sem load balance (pode separar gateways difetentes por VLAN no entanto)
O roteador com maior prioridade se torna o ativo. Caso de empate, o c maior IP se torna o ativo
configuracao SNMP e traps(padrao)/informs
(config) snmp-server comunity [senha] [ro/rw] [/acl]
Configuracao para enviar traps e dps habilitar:
(config) snmp-server host [ip/hostname] version 2c [comunity_senha]
(config) snmp-server enable traps
(config) snmp-server location [X]
(config) snmp-server contact [X]
ip access-list standard SNMP_acesso
permit …
deny …
Niveis de seguranca
DINAECA 0 Emergencia 1 Alerta 2 Critico 3 Erro 4 Aviso 5 Notificacao 6 Info 7 Debug
portas snmp / syslog
UDP
161 NMS->aparelho
info requests
162
trap info
SNMP agent -> NMS
UDP 514 sys
o que as versoes do SNMP adicionaram?
nao se mudou mt a respeito de seguranca da versao 1 para a 2c..
Foram feitas mudancas p tornar mais eficiente o metodo de obtencao de estatisticas
v3-> autenticacao, encriptacao e integridade
configurar trap messages/ verificar o NSM que esta configurado p receber trap messages (V2)
snmp-server host [IP] version 2c [comunity_string]
snmp-server enable traps
show snmp host
verificar a ACL configurada/ senha da community
sh snmp community sh snmp location sh snmp contact sh snmp host (community, host, versao) sh snmp
