Так как лабораторных работ достаточно много, на ранних лабораторных будет изменяться схема подключения устройств.
root@set snmp commmunity NameCommunity read-only
После ввода данной команды создалась community с именем NameCommunity с правами только на чтение.
PC@test:~$ snmpwalk -v 2c -c NameCommunity 192.168.1.1
root@set system syslog host 10.39.19.246 any any
Прописываем сетевой адрес сервера с запущенным syslog-сервером и выбираем режим логирование любых событий. JunOS позволяет тонко настраивать какие именно сообщения и каких типов следует логировать.
Для проверки логирования следует настроить программу на сервере. В пример программа syslog-ng на OC Debian.
Пример лог файла
Настройка syslog-ng
Устанавливаем syslog c помощью apt-get install syslog-ng.
Заходим в файл конфигурации nano /etc/syslog-ng/syslog-ng.conf
и прописываем строчки в соответствующих блоках.
Выполняем любую активность на Juniper и смотрим на логи.
Приступим к настройке radius на сервере:Перейдем к /etc/freeradius/clients.conf: client 192.168.1.0/24 { secret = cisco nastype = cisco shortname = test }
Перейдем к /etc/freeradius/users: test1 Cleartext-Password := "123" Service-Type = Administrative-User, cisco-avpair = "shell:priv-lvl=1"
test2 Cleartext-Password := "321" Service-Type = Administrative-User, cisco-avpair = "shell:priv-lvl=15"
Теперь настроим сам роутер:
Для настройки snmp
необходимо настроить community:
root@set snmp commmunity NameCommunity read-only
После ввода данной команды создалась community с именем NameCommunity с правами только на чтение.
Выполним проверку с
компьютера с помощью утилиты snmpwalk.
PC@test:~$ snmpwalk -v 2c -c NameCommunity 192.168.1.1
iso.3.6.1.2.1.1.1.0 = STRING: "Juniper Networks, Inc. srx240h
internet router, kernel JUNOS 11.2R4.3 #0: 2011-11-24 08:11:51 UTC
builder@chamuth.juniper.net:/volume/build/junos/11.2/release/11.2R4.3/obj-octeon/bsd/kernels/JSRXNLE/kernel
Build date: 2011-11-24 07:58:57 UTC Copyrigh"
iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.2636.1.1.1.2.39
iso.3.6.1.2.1.1.3.0 = Timeticks: (241311893) 27 days, 22:18:38.93
iso.3.6.1.2.1.1.4.0 = ""
iso.3.6.1.2.1.1.5.0 = STRING: "123"
iso.3.6.1.2.1.1.6.0 = ""
iso.3.6.1.2.1.1.7.0 = INTEGER: 4
iso.3.6.1.2.1.2.1.0 = INTEGER: 49
iso.3.6.1.2.1.2.2.1.1.3 = INTEGER: 3
iso.3.6.1.2.1.2.2.1.1.4 = INTEGER: 4
iso.3.6.1.2.1.2.2.1.1.6 = INTEGER: 6
iso.3.6.1.2.1.2.2.1.1.7 = INTEGER: 7
iso.3.6.1.2.1.2.2.1.1.8 = INTEGER: 8
iso.3.6.1.2.1.2.2.1.1.9 = INTEGER: 9
iso.3.6.1.2.1.2.2.1.1.10 = INTEGER: 10
Для настройки syslog необходимо:
root@set system syslog host 10.39.19.246 any any
Прописываем сетевой адрес сервера с запущенным syslog-сервером и выбираем режим логирование любых событий. JunOS позволяет тонко настраивать какие именно сообщения и каких типов следует логировать.
root@set
system syslog user * any critical
Указываем, что любые критические замечания всех пользователей стоит логировать.
Указываем, что любые критические замечания всех пользователей стоит логировать.
root@set
system syslog file messages any any
Выполним логирование всех видов событий в файл messages, который находится в памяти Juniper
Выполним логирование всех видов событий в файл messages, который находится в памяти Juniper
Для проверки логирования следует настроить программу на сервере. В пример программа syslog-ng на OC Debian.
Jun 3 12:20:05 10.39.18.66 mgd[38086]: UI_COMMIT_PROGRESS: Commit operation in$
Jun 3 12:20:15 10.39.18.66 mgd[38086]: UI_CMDLINE_READ_LINE: User 'TEST', comm$
Jun 3 12:20:15 10.39.18.66 mgd[38086]: UI_DBASE_LOGOUT_EVENT: User 'TEST' exit$
Jun 3 12:20:18 10.39.18.66 mgd[38086]: UI_CMDLINE_READ_LINE: User 'TEST', comm$
Настройка syslog-ng
Устанавливаем syslog c помощью apt-get install syslog-ng.
Заходим в файл конфигурации nano /etc/syslog-ng/syslog-ng.conf
и прописываем строчки в соответствующих блоках.
source snet {
udp(ip("0.0.0.0") port (514));
tcp(ip("0.0.0.0") port (514));
} - говорим ему слушать информацию от всех ip-адресов на порту 514
destination dnet { file("/var/log/net/log"); }; - указываем файл в который будут писаться логи
filter fnet0 { host("192.168.*.*");}; - создаем фильтр, где размещаем адреса типа 192.168.0.0/16
log {source (snet); filter (fnet0); destination(dnet); }; - собираем вместе источник, назначение и фильтр.
Выполняем любую активность на Juniper и смотрим на логи.
Для настройки AAA необходимо:
Установить AAA сервера. Для примера возьмем сервер freeradius на ОС Debian.
apt-get install freeradiusУстановить AAA сервера. Для примера возьмем сервер freeradius на ОС Debian.
Приступим к настройке radius на сервере:Перейдем к /etc/freeradius/clients.conf: client 192.168.1.0/24 { secret = cisco nastype = cisco shortname = test }
Перейдем к /etc/freeradius/users: test1 Cleartext-Password := "123" Service-Type = Administrative-User, cisco-avpair = "shell:priv-lvl=1"
test2 Cleartext-Password := "321" Service-Type = Administrative-User, cisco-avpair = "shell:priv-lvl=15"
Теперь настроим сам роутер:
root@set
system radius-server 192.168.1.254 port 1812 secret «Вводим секретный пароль»
Данной командой прописываем radius-server, указываем
его порт и пароль.
root@set system radius-options password-protocol mschap-v2
root@set system radius-options password-protocol mschap-v2
По умолчанию выполняется
авторизация PAP, которая является не безопасной. Укажем Juniper'у, что необходимо использовать не PAP, а CHAP
root@set system
accounting events [ change-log interactive-commands login ] destination radius server
192.168.1.254
Выполним настройку слежения за событиями на Juniper. Аналог syslogroot@ set system authentication-order radius
Выполним настройку слежения за событиями на Juniper. Аналог syslogroot@ set system authentication-order radius
root@ insert system authentication-order password before
radius
Указываем, что аутентификация radius выполняется в первую очередь, при недоступности сервера ААА, используется локальная база пользователь/пароль
root@ set system login user remote full-name "all remote users"
root@ set system login user remote class operator
Создаем пользователя с именем remote и даем ему права оператора
root@ set system login user remote full-name "all remote users"
root@ set system login user remote class operator
Создаем пользователя с именем remote и даем ему права оператора
Выполнить проверку ААА с
помощью удаленного сервера при этом логи будут писаться в файл /var/log/freeradius/
Если вам понравился данная лабораторная и вам захотелось поблагодарить:
Яндекс.деньги 410011902537185
ICQ: 402204328
Skype: monaxgtx
Если вам понравился данная лабораторная и вам захотелось поблагодарить:
Яндекс.деньги 410011902537185
ICQ: 402204328
Skype: monaxgtx
Комментариев нет:
Отправить комментарий