Service sequence numbers cisco что это

System Message Logging

Available Languages

Download Options

Table Of Contents

System Message Logging

This module describes how to configure system message logging on your wireless device in the following sections:

•Understanding System Message Logging

•Configuring System Message Logging

•Displaying the Logging Configuration

Note For complete syntax and usage information for the commands used in this chapter, refer to the Cisco IOS Configuration Fundamentals Command Reference for Release 12.4.

Understanding System Message Logging

By default, wireless devices send the output from system messages and debug privileged EXEC commands to a logging process. The logging process controls the distribution of logging messages to various destinations, such as the logging buffer, terminal lines, or a UNIX syslog server, depending on your configuration. The process also sends messages to the console.

Note The syslog format is compatible with 4.3 BSD UNIX.

When the logging process is disabled, messages are sent only to the console. The messages are sent as they are generated, so message and debug output are interspersed with prompts or output from other commands. Messages are displayed on the console after the process that generated them has finished.

You can set the severity level of the messages to control the type of messages displayed on the console and each of the destinations. You can timestamp log messages or set the syslog source address to enhance real-time debugging and management.

You can access logged system messages by using the access point command-line interface (CLI) or by saving them to a properly configured syslog server. The access point software saves syslog messages in an internal buffer. You can remotely monitor system messages by accessing the access point through Telnet or by viewing the logs on a syslog server.

Configuring System Message Logging

This section describes how to configure system message logging in the following sections:

•System Log Message Format

•Default System Message Logging Configuration

•Disabling and Enabling Message Logging

•Setting the Message Display Destination Device

•Enabling and Disabling Time Stamps on Log Messages

•Enabling and Disabling Sequence Numbers in Log Messages

•Defining the Message Severity Level

•Limiting Syslog Messages Sent to the History Table and to SNMP

•Setting a Logging Rate Limit

•Configuring UNIX Syslog Servers

System Log Message Format

System log messages can contain up to 80 characters and a percent sign (%), which follows the optional sequence number or timestamp information, if configured. Messages are displayed in this format:

seq no:timestamp: %facility-severity-MNEMONIC:description

Table 1 describes the elements of syslog messages.

Table 1 System Log Message Elements

Stamps log messages with a sequence number only if the service sequence-numbers global configuration command is configured.

hh:mm:ss (short uptime)

Date and time of the message or event. This information appears only if the service timestamps log [ datetime | log ] global configuration command is configured.

The facility to which the message refers (for example, SNMP, SYS, and so forth). A facility can be a hardware device, a protocol, or a module of the system software. It denotes the source or the cause of the system message.

Single-digit code from 0 to 7 that is the severity of the message. For a description of the severity levels, see Table 3.

Text string that uniquely describes the message.

Text string containing detailed information about the event being reported.

The following example shows a partial access point system message:

Источник

Базовая настройка Cisco

Настройка параметров терминала

Для базовой настройки параметров терминала:

Назначить имя устройства

Если необходимо, изменить строку приглашения

%% — символ процента;
%n — номер tty-порта;
%h — имя хоста;
%p — символ приглашения ( # или > );
%s — пробел;
%t — табуляция;

Отключить поиск в системе DNS:

Задать время сеанса (5 мин.):

Для вывода информации о местоположении устройства при входе пользователя в систему:

Чтобы сообщения консоли не мешали вводу команд:

Задать скорость консольного порта:

Определить длину истории команд:

Включить запись истории изменения конфигурации:

Включить поддержку IPv6, перезагрузить роутер

Установка параметров входа в систему

Локальная аутентификация

Добавить локального пользователя:

Включить поддержку ААА и настроить аутентификацию:

Аутентификация на RADIUS-сервере

На RADIUS-сервере в файл []users[] прописать(. до первого вхождения пользователя DEFAULT):

Включить поддержку ААА и настроить аутентификацию:

Настройка параметров журналирования.

Включить ведение журнала:

0 — минимальное, 7- записывать все сообщения

Добавлять системное время в сообщения:

Сбор данных на syslog-сервер:

Для начала необходимо добавить строку в []/etc/syslogd.conf[] вида []Facility.Severity file[]

Затем настроить роутер:

Включить сервис нумерации сообщений и записи истории посещений:

Установка даты, времени, часового пояса, настройка NTP-клиента.

Перевести внутренние часы:

Настройка сервисов:

Установить имя хоста:

Сгенерировать секретный ключ (l > 768):

В настройках линии указать возможность приема соединений по SSH:

Включить сервис SCP:

Идентификация по открытому ключу:

CDP (LLDP)

Сервис CDP включен на коммутаторе по-умолчанию. Для выключения:

На отдельном интерфейсе:

Время между посылками CDP-пакетов:

Время, которое принятая от соседа информация считается действительной:

Если в сети находятся устройства иных производителей, то имеется возможность использовать протокол LLDP:

На отдельном интерфейсе:

SNMPv3

Создать SNMP-tree view для чтения и записи:

где MIB-view-family может быть: [] mib2, system, internet, iso и т.д. []

Создать пользователей SNMP-сервера:

VTPv3

Основные отличия от 1 и 2 версии:
*** Поддержка Privat-VLAN;
*** Поддержка полного диапазона VLAN ( 1 — 4096 );
*** Возможность настройки на уровне отдельного порта;
*** Защита пароля домена;
*** Решена проблема с подключением нового коммутатора (когда происходила перезапись базы VLAN всего домена);
*** Обмен данными более эффективен;
*** Работа в режиме передачи данных между процессами MST.

Если switch работает в режиме server, необходимо его тип — BACKUP(по-умолчанию) или PRIMAR:

Обновления принимаются только от PRIMARY-сервера. В домене только один primary, остальные backup, client либо transparent. При подключении в сеть 2-ого primary, он автоматически становится backup.

Выключить VTP на интерфейсе можно командой:

Повышение уровня безопасности устройства

Выключить ненужные сервисы:

Настроить access-class на VTY:

MANAGEMENT и COMMON VLAN:

Создание меню быстрого вызова команд.

Для каждого пункта меню:

Завершить пунктом выхода из меню:

Вызов меню из режима exec:

Системный администратор. В сисадминстве с 2000 года. Участник Хабр Q&A и cyberforum

Источник

Cisco Router

Материал из Xgu.ru

Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

На этой странице описываются различные настройки маршрутизаторов Cisco.

Содержание

[править] Базовые настройки маршрутизатора

[править] Полезные команды

Сбросить настройки на интерфейсе fa 0/1:

Прервать traceroute CTRL-SHIFT-6

[править] Buffer Tuning

[править] Доступ к маршрутизатору

[править] Telnet

Настройка доступа telnet без пароля:

При подключении сразу попасть в привилегированный режим:

[править] ACL

Для ограничения доступа к маршрутизатору по протоколу telnet можно использовать ACL и применить их к vty.

Например, настроен ACL, который разрешает подключаться к маршрутизатору по telnet только с адреса 4.4.4.4:

Подключившись по telnet, например, с адреса 4.4.4.4 к маршрутизатору dyn5, можно затем из этой сессии инициировать telnet сессию к другому маршрутизатору. Для того чтобы контролировать куда можно подключаться изнутри сессии telnet необходимо настроить ACL в исходящем направлении. Например, подключившись к маршрутизатору dyn5 по telnet, инициировать исходящую сессию telnet можно будет только на адрес 1.1.1.1:

Если выполняется попытка подключиться к неразрешенному адресу, то появляется такое сообщение:

[править] Дополнительные параметры при подключении telnet

Обычно при подключении telnet маршрутизатор в качестве адреса отправителя выбирает адрес интерфейса, который ближе всего к получателю. Однако это поведение можно изменить, как для конкретной сессии, так и в принципе для всех подключений telnet.

Указание интерфейса для текущей сессии telnet:

Указание интерфейса для всех сессий telnet:

[править] Разрыв соединения

Настройка таймаута после которого, независимо от активности, пользователь будет отключен (в минутах):

Отображение предупреждающего сообщения за 30 секунд до того как сессия будет разорвана из-за истечения интервала absolute-timeout:

[править] Предотвращение залипания соединений

[править] Настройка нестандартных портов для telnet и привязка к конкретной vty

Указание нестандартного порта для telnet:

После указания rotary 3 для того чтобы попасть по telnet на vty 3, надо заходить на порт 3000+3.

Пример конфигурации маршрутизатора:

Подключение с соседнего маршрутизатора (к порту 3000+rotary):

Пользователь подключился к vty 3:

[править] SSH

Имя домена (необходимо для генерации ключей):

Создание пары ключей:

Включение SSH версии 2:

Создание пользователя в локальной базе:

[править] Настройка нестандартных портов для SSH и привязка к конкретной vty

Изменение порта SSH для определенной линии vty:

Настройка соответствия vty и rotary:

Пример конфигурации маршрутизатора:

Подключение с соседнего маршрутизатора (к порту 2009):

Пользователь подключился к vty 4:

Ограничение числа сессий ssh ip ssh maxstartups Пример: ограничим 2 сессиями

Ограничение времени timeoutá (по-умолчанию 300 секунд)ip ssh time-out
SSH сервер прерывает соединение, если не передаются никакие данные в течение этого времени ожидания.
Пример:

Указание интерфейса для всех сессий ssh

Включение журналирования событий SSH ip ssh logging events

Указание версии использования протокола ip ssh version версия Пример:

Указание, какой ключ должен использоваться при соединении:

[править] Работа с сессиями

[править] Исходящие сессии Telnet и SSH

Инициировать сессию telnet:

Исходящие сессии SSH:

[править] Приостановка и мониторинг исходящих сессий

Приостановить сессию: Ctrl+Shift+6 и потом x.

Показать исходящие сессии:

Вернуться в приостановленную сессию:

Завершить исходящую сессию:

Если с маршрутизатора были открыты сессии, а затем приостановлены, то нажатие ‘Enter’ приводит к тому, что открывается последняя сессия. Для того чтобы сделать перевод строки, без команды и без восстановления последней сессии, необходимо использовать комбинацию ctrl+l.

Или нажать номер несуществующей сессии. После этого ‘Enter’ отрабатывает как обычно:

[править] Входящие сессии

Показать подключения к локальному маршрутизатору (консоль, telnet, ssh):

Показать сессии ssh:

[править] Автоматическое выполнение команды

Команда autocommand используется для автоматического выполнения определенной команды после того как пользователь подключился к определенной line:

[править] HTTP

[править] Ограничение количества соединений

Настройка максимального количества соединений (по умолчанию 5, диапазон от 1 до 16):

[править] Изменение стандартного порта

Изменение стандартного порта HTTP:

[править] Время жизни соединения

[править] Ограничение доступа

С помощью ACL можно указать каким хостам разрешен доступ по HTTP на маршрутизатор:

[править] Аутентификация

Настройка аутентификации по локальной базе пользователей:

Пример создания пользователей:

[править] Локальная аутентификация (локальная база пользователей)

Управление правами доступа на основании атрибутов, присвоенных отдельному пользователю.

Когда VPN-пользователи проходят аутентификацию на локальном сервере IOS, то может понадобиться запретить им доступ к CLI.

Настройка AAA (если настроен VPN, то тут могут быть дополнительные настройки):

Создание списка атрибутов для запрещения доступа к CLI:

Назначение списка пользователю:

Если пользователь пытается зайти в CLI маршрутизатора, то выдается ошибка:

[править] Разграничение доступа пользователям

[править] Уровни привилегий по умолчанию

Некоторые команды уровня 1:

[править] Уровни привилегий

Создание пользователя и задание пароля:

Назначение пользователю уровня привилегий:

Задание соответствия между командами и уровнем привилегий:

Для просмотра уровня своих привилегий используется команда show privilege
Пример:

[править] CLI view

Включить root view:

Настроить пароль для view:

Добавить команды доступные в view:

[править] Всякое

[править] Пароли

Задание минимальной длины пароля:

Хранение паролей в виде хеша:

Задание количества разрешенных неудачных попыток логина в минуту. При превышении будет сгенерировано лог-сообщение:

Для задания пароля входа в privileg EXEC level (привилегированный режим) используется команда enable password|secret
Пример:

Следует заметить, что при использовании enable secret будет использоваться кодирования пароля с помощью алгоритма MD5, что повышает безопасность системы в целом

[править] Гарантия выполнения низкоприоритетных задач

[править] Приглашение командной строки

Отключить приглашение командной строки в глобальном конфигурационном режиме:

После выполнения команды, приглашение dyn1(config)# не отображается. При возвращении в режим enable приглашение появляется.

Настройка приглашения режима enable:

[править] Баннеры

Создание баннера message-of-the-day (MOTD):

Для создания баннера необходимо указать ключевое слово banner тип РазделительТекст баннера Разделитель. Разделитель НЕ может содержаться в тексте баннера

[править] Создание меню

Текст приглашения по выбору пункта меню:

Настройка очистки экрана перед выводом меню:

Ключами для выбора определенного пункта меню могут быть буквы, цифры или строки. Если используются строки, то должен быть настроен режим line-mode:

Создание пунктов меню:

Настройка команд, которые будут выполняться при вызове пункта меню:

Для того чтобы пользователь мог выйти из меню, при создании меню необходимо настроить один пункт меню с командой menu-exit:

Для пунктов меню, в которых предполагается вывод результата выполнения команды, необходимо задать параметр pause:

Можно указать какой пункт будет выполняться по умолчанию в случае, если пользователь не выбрал пункт меню и нажал Enter:

Отображение строки с информацией о статусе подключения:

Настройка автоматического вызова меню при подключении пользователя:

[править] Пример меню и соответствующая конфигурация

Просмотреть список существующих соответствий:

[править] Сообщение о недоступности хоста

Настройка сообщения о недоступности хоста при подключении к нему по Telnet:

[править] Спрятать IP-адрес хоста к которому выполняется подключение

Обычно, при подключении к хосту, который в момент подключения доступен, в консоли отображается IP-адрес хоста:

Спрятать IP-адрес хоста к которому выполняется подключение:

После этого, при выполнении подключения адрес не отображается:

[править] Login enhancement

[править] Настройка блокировки

Настройка периода блокировки хоста, с указанием количества попыток подключения к маршрутизатору в течение указанного периода времени:

Пример. Хост будет заблокирован на 60 секунд, если в течение 10 секунд будут 3 неудачные попытки логина:

После нескольких неудачных попыток подключения:

[править] Настройка исключений из правила блокировки

Пример. Исключение хоста 192.0.1.2:

[править] Настройка логирования попыток подключения и задержки между подключениями

Задержка между попытками подключения (по умолчанию 1 секунда):

Пример. Настройка задержки 5 секунд:

Логирование попыток подключения:

[править] Пример настройки

[править] Трансляция адресов (NAT)

[править] Настройка NTP

[править] Маршрутизатор в роли NTP-сервера

Настройка маршрутизатора в роли NTP-сервера:

Обновление встроенных часов:

Настройка интерфейса для отправки широковещательных пакетов NTP:

[править] Статический клиент

[править] Широковещательный клиент

[править] Symmetric active mode

[править] Аутентификация

[править] Задание часового пояса

Переход на летнее время задается так:

[править] ACL для предотвращения получения информации об устройстве и IOS

[править] Запрет сервиса на определенном интерфейсе

[править] Просмотр настроек

Ассоциации NTP на маршрутизаторе в роли сервера:

Статус NTP на маршрутизаторе в роли сервера:

Ассоциации NTP на маршрутизаторе в роли клиента:

Статус NTP на маршрутизаторе в роли клиента:

[править] Frame Relay

[править] ARP encapsulations

[править] Управление конфигурацией маршрутизатора

[править] Базовые команды

[править] Просмотр текущей конфигурации

[править] Просмотр сохраненной конфигурации

[править] Сохранение текущей конфигурации

[править] Копирование конфигурации

Если конфигурация копируется в стартовую, то выполняется полная замена файла. Если конфигурация копируется в текущую, то выполняется слияние файлов.

Поэтому в текущую конфигурацию можно копировать, например, файл в котором содержится частичная конфигурация или какие-то определенные настройки (например, протокола динамической маршрутизации).

Ранее, для того чтобы обновить конфигурацию маршрутизатора, необходимо было скопировать новый конфигурационный файл в стартовую конфигурацию, а потом перезагрузить устройство. В новых версиях IOS можно выполнять замену (а не слияние) текущей конфигурации.

Например, заменить текущую конфигурацию файлом с TFTP-сервера:

Команда configure replace не всегда корректно отрабатывает, особенно со сложными объектами, такими как route-map. Поэтому более надежный способ использовать копирование в cтартовую конфигурацию.

[править] На FTP-сервер

Пример выполнения копирования:

[править] Команда archive

Зайти в режим настройки архивирования конфигурационных файлов:

Команды в режиме archive:

[править] Настройка логирования

Зайти в режим настройки логирования:

Настройка размера буфера (по умолчанию 100):

Отправлять изменения на syslog-сервер:

Просмотр информации о выполненных командах:

[править] Сравнение конфигураций

[править] Сравнение текущей и стартовой конфигурации

Если на маршрутизаторе не настроено хранение конфигурации на внешнем источнике, то сравнение его конфигураций может выполняться двумя способами.

Сравнение стартовой с текущей:

Сравнение текущей со стартовой конфигурацией:

Так как выполнение сравнения текущей конфигурации со стартовой может выполняться часто, а команда достаточно громоздкая, то лучше создать для неё alias:

Теперь можно посмотреть это же сравнение по команде change:

[править] Просмотр доступных архивов

Просмотр списка доступных архивов
show archive

sh archive config differences Если используется сохранение конфигурационных файлов на внешние хранилища, он сравнивает с ними, т.е не нужно указывать nvram и system.

Замена текущей конфигурации указанным файлом (происходит именно замена, а не совмещение файлов):

[править] Автоматический backup конфигурации

В режиме настройки архивирования конфигурационных файлов есть возможность сохранять текущую конфигурацию на удаленный сервер. Поддерживаются протоколы ftp, http, https, scp, tftp, так же можно записывать конфигурационный файл на flash
Синтаксис:

При этом имя файла конфигурации, сохраняемое на ftp будет иметь вид: sm-ndg-c2801-Sep—8-092742-2

[править] Автоматическое сохранение конфигурации по расписанию

Router(config)#kron policy-list SaveConfig
Пример:

sm-ppl-c2811# show kron schedule

[править] Отправка копии crash файла

Существует возможность конфигурирования модели поведения записи crash файла. Для этого используется команда exception
Пример:

[править] Resilient configuration

[править] DNS-сервер

Отключение преобразования имен:

[править] Перезагрузка маршрутизатора

После перезагрузки маршрутизатор будет использовать распакованный IOS в DRAM, а не сжатую версию IOS во flash:

[править] Поиск неисправностей, logging

[править] Debug

[править] Logging

[править] Отправка сообщений во внутренний буфер

Настройка отправки сообщений во внутренний буфер (по умолчанию размер буфера 4096 байт) logging buffered размер в байтах:

Просмотреть содержимое буфера:

Очистить содержимое буфера:

[править] Отправка сообщений на сервер

Настройка отправки сообщений на сервер:

Настройка facility (по умолчанию local7):

Настройка интерфейса с которого будут отправляться сообщения:

[править] Вывод сообщений на терминал

[править] Ограничение числа выводимых сообщений

Может возникнуть ситуация, когда количество выводимых сообщений настолько большое, что прочитать их физически невозможно. Более того, данная ситуация вызывает перегрузку системы. Существует возможность ограничить количество выдаваемых сообщений на терминал в секунду.

в этом примере ограничиваются предупреждения (warnings) или

в этом ограничиваются все сообщения
Существует возможность ограничить вывод сообщений на консоль, только критическими сообщениями

[править] Нумерация выводимых сообщений

Для включения вывода номера системного сообщения используется команда service sequence-numbers Пример:

Данная возможность предназначена для возможного распознавания подделок злоумышленников log файла. Т.е он гарантирует целостность логов

[править] Время системных сообщений

Даем указание выводить локальное время:

[править] Создание core dump

[править] Использование FTP для core dump

Создание пользователя и пароля для FTP соединений:

Настройка использования пассивного режима FTP:

IP-адрес интерфейса lo0 будет использоваться как адрес отправителя:

Указание протокола, который будет использоваться для отправки core dump:

Задание имени файла (и опционально сжатие файла):

Адрес сервера на который будет отправляться core dump:

[править] Запрет прерывания во время ввода команд

Для того, что бы всплывающие сообщения не прерывали ввод команд в консольном режиме используется команда logging synchronous
Пример:

[править] Packet Capture

[править] Настройка DRP

[править] Аутентификация

[править] Просмотр информации

[править] Настройка WCCP

WCCP-Web Cache Communication Protocol предназначен для перенаправления трафика в реальном времени. [7]

Ограничения (2 версии протокола):

Определяем версию протокола

[править] RMON

[править] Группы RMON

[править] Сертификаты

Для просмотра существующего ключа RSA используется команда show crypto key mypubkey rsa
удаление всех существующих ключей RSA

Генерация нового RSA ключа crypto key generate rsa.
Внимание. Ключ может быть сгенерирован, только, если имя маршрутизатора задано и отличное от умолчания. Кроме того возможно необходимо задать имя домена
Размер ключа следует выбирать выше или равное 1024 Пример:

Для проверки ключа можно использовать команду show crypto mypubkey rsa

[править] Настройка PPTP на маршрутизаторе

[править] Настройка PPTP-клиента

Данная возможность является не документированной, однако она доступна для большинства маршрутизаторов с версией ios > 12.2

Для включения используется команда service internal

После включения, в vpdn будет доступен протокол PPTP:

После этого нужно описать интерфейс дозвона:

[править] Пример конфигурации

Для полноты покажу всю конфигурацию. На маршрутизаторе есть один физический интерфейс FastEthernet 0/0 и два под интерфейса, реализованных на нем.

[править] Отладка

Информация по теме:

[править] Разное

[править] Маршрутизатор как TFTP-сервер

Можно скопировать IOS с одного маршрутизатора на другой.

Например, если на R1 во flash есть образ, который надо скопировать на R2, то можно превратить R1 в TFTP-сервер.

Образ IOS во flash R1:

Настройка TFTP-сервера на R1:

После этого, с R2 можно копировать образ:

[править] Backup interface

[править] Недокументированные команды Cisco

[править] Дополнительная информация

Управление конфигурацией маршрутизатора:

Источник