↑ Retornar para Problemas do mundo real

Script seguro e padrão para Catalyst 2960

Home Fórum Problemas do mundo real Script seguro e padrão para Catalyst 2960

Este tópico contém 22 respostas, possui 8 vozes e foi atualizado pela última vez por  Edson 4 anos, 4 meses atrás.

Visualizando 23 posts - 1 até 23 (de 23 do total)
  • Autor
    Posts
  • #49088

    Anônimo

    Olá pessoal,
    Tenho um parque de aproximadamente 150 switches de acesso, todos 2960 e 2960s (alguns em stack), já trabalhando com o IOS da trilha 15.
    Iniciei um trabalho para padronizar um script de configuração, pois com o passar do tempo e diferentes pessoas instalando cada switch fica de uma maneira mas todos tem o mesmo objetivo, suportar dispositivos de usuários finais. Para servidores utilizo o switch Nexus.
    Comecei algo, mas pela falta de experiência/conhecimento de boas práticas gostaria da opinião de vocês para sugerirem mudanças e linhas que foquem principalmente em segurança.
    Abaixo o que tenho pronto até agora. Nos switches tenho desktops, access points controlados e autonômos, telefones VOIP físicos Cisco e clients IP Communicator em algumas máquinas, além das coisas mais tradicionais em uma empresa (câmeras, relógios de ponto…).
    Conseguem ajudar?

    Outras considerações:
    Todas portas não utilizadas ficam em “shutdown” e quando há uma instalação nova, nos é solicitado habilitar essa porta desse switch.

    #show running
    Building configuration…
    !
    version 15…
    no service pad
    service timestamps debug uptime
    service timestamps log datetime localtime
    service password-encryption
    !
    hostname XXXXX
    !
    boot-start-marker
    boot-end-marker
    !
    aaa new-model
    !
    enable secret XXXXX
    !
    ip domain-name (br.EMPRESAONDETRABALHO.com)
    crypto key generate rsa modulus 2048
    !
    username XXXXX privilege 15 password XXXXX (APENAS UM USUÁRIO LOCAL PARA EMERGÊNCIA, POIS UTILIZO TACACS]
    !
    clock timezone gmt -3
    system mtu 1500
    ip subnet-zero
    !
    errdisable recovery interval 60
    spanning-tree mode rapid-pvst
    spanning-tree extend system-id
    !
    vlan internal allocation policy ascending
    !
    interface Fa0
    shutdown
    exit
    !
    interface range Gi 1/0/1-48
    switchport access vlan XXX [VLAN DE ACORDO COM O DEPARTAMENTO/LOCALIDADE]
    switchport mode access
    switchport voice vlan XXX [ONDE HÁ TELEFONE VOIP FÍSICO CONECTADO]
    switchport port-security
    switchport port-security maximum 2
    switchport port-security maximum 1 vlan access
    switchport port-security maximum 1 vlan voice
    switchport port-security aging time 2
    switchport port-security violation restrict
    switchport port-security aging type inactivity
    spanning-tree portfast
    spanning-tree bpduguard enable
    spanning-tree guard root
    switchport nonegotiate
    storm-control broadcast level 15.00
    storm-control multicast level 10.00
    !
    interface Gi 1/0/49
    description UPLINK from [SWITCH DE ONDE VEM O UPLINK]
    switchport trunk allowed vlan XXXXX,XXXXX,XXXXX,XXXXX
    switchport mode trunk
    switchport nonegotiate
    !
    interface range Gi 1/0/51-52
    shutdown
    !
    interface Vlan1
    no ip address
    no ip route-cache
    shutdown
    !
    interface VlanXXXXX
    ip address XX.XX.XX.XX 255.255.255.0
    no ip route-cache
    !
    banner motd c
    [BANNER DE LOGIN JÁ EXISTENTE]
    c
    !
    ip default-gateway XX.XX.XX.XX
    ip http server
    ip http secure-server
    logging host XX.XX.XX.XX [SERÁ ADICIONADO UM SYSLOG]
    tacacs-server host XX.XX.XX.XX timeout 10 (TACACS PRIMÁRIO]
    tacacs-server host 138.106.10.95 (TACACS SECUNDÁRIO]
    tacacs-server timeout 10
    no tacacs-server directed-request
    tacacs-server key XXXXX
    !
    ! SERVIDORDEMONITORAMENTONAGIOS.EMPRESA.COM
    access-list XX permit XX.XX.XX.XX
    !
    snmp-server group XXX v3 priv read V3Read access XX
    snmp-server view V3Read iso included
    snmp-server user XXX XXX v3 auth sha XXXXX priv aes 128 XXXXX [CHAVES DO SNMP DA SOLUÇÃO DE MONITORAMENTO]
    !
    snmp-server community XXXXX RO
    snmp-server location BR, CIDADE, PRÉDIO, SALA, RACK
    snmp-server contact DEPARTAMENTO RESPONSÁVEL
    !
    line con 0
    exec-timeout 3
    line aux 0
    exec-timeout 3
    transport input ssh
    login vty 0 4
    exec-timeout 3
    transport input ssh
    line vty 0 15
    exec-timeout 3
    transport input ssh
    login local
    !
    vtp mode client
    vtp domain XXXXX
    vtp password XXXXX
    !
    ntp server XX.XX.XX.XX prefer
    ntp server XX.XX.XX.XX
    end

    DEPOIS DO SWITCH INSTALADO, ADICIONAMOS AS LINHAS DE TACACS:
    aaa authentication attempts login 5
    aaa authentication login default group tacacs+ local
    aaa authentication enable default group tacacs+ enable
    aaa authorization console
    aaa authorization config-commands
    aaa authorization exec default group tacacs+ if-authenticated
    aaa authorization commands 1 default group tacacs+ if-authenticated
    aaa authorization commands 15 default group tacacs+ if-authenticated
    aaa accounting exec default start-stop group tacacs+
    aaa accounting commands 1 default start-stop group tacacs+
    aaa accounting commands 15 default start-stop group tacacs+
    aaa accounting system default start-stop group tacacs+

    QUANDO HÁ UM TELEFONE VOIP FÍSICO NO SWITCH ADICIONAMOS:
    mls qos map policed-dscp 24 26 46 to 0
    mls qos map cos-dscp 0 8 16 24 32 46 48 56
    mls qos srr-queue output cos-map queue 1 threshold 3 5
    mls qos srr-queue output cos-map queue 2 threshold 3 3 6 7
    mls qos srr-queue output cos-map queue 3 threshold 3 2 4
    mls qos srr-queue output cos-map queue 4 threshold 2 1
    mls qos srr-queue output cos-map queue 4 threshold 3 0
    mls qos srr-queue output dscp-map queue 1 threshold 3 40 41 42 43 44 45 46 47
    mls qos srr-queue output dscp-map queue 2 threshold 3 24 25 26 27 28 29 30 31
    mls qos srr-queue output dscp-map queue 2 threshold 3 48 49 50 51 52 53 54 55
    mls qos srr-queue output dscp-map queue 2 threshold 3 56 57 58 59 60 61 62 63
    mls qos srr-queue output dscp-map queue 3 threshold 3 16 17 18 19 20 21 22 23
    mls qos srr-queue output dscp-map queue 3 threshold 3 32 33 34 35 36 37 38 39
    mls qos srr-queue output dscp-map queue 4 threshold 1 8
    mls qos srr-queue output dscp-map queue 4 threshold 2 9 10 11 12 13 14 15
    mls qos srr-queue output dscp-map queue 4 threshold 3 0 1 2 3 4 5 6 7
    mls qos queue-set output 1 threshold 1 138 138 92 138
    mls qos queue-set output 1 threshold 2 138 138 92 400
    mls qos queue-set output 1 threshold 3 36 77 100 318
    mls qos queue-set output 1 threshold 4 20 50 67 400
    mls qos queue-set output 2 threshold 1 149 149 100 149
    mls qos queue-set output 2 threshold 2 118 118 100 235
    mls qos queue-set output 2 threshold 3 41 68 100 272
    mls qos queue-set output 2 threshold 4 42 72 100 242
    mls qos queue-set output 1 buffers 10 10 26 54
    mls qos queue-set output 2 buffers 16 6 17 61
    mls qos

    interface FastEthernet0/1
    srr-queue bandwidth share 10 10 60 20
    priority-queue out
    mls qos trust device cisco-phone
    mls qos trust cos
    auto qos voip cisco-phone
    service-policy input AutoQoS-Police-CiscoPhone

    0

    0
    #117874

    zekkerj
    Participante

    @jsmacedo: …pois com o passar do tempo e diferentes pessoas instalando cada switch fica de uma maneira…

    Esse é o teu problema. Você precisa criar um processo de gerenciamento dos teus profissionais, pra que eles não façam mais modificações fora do padrão, pq senão hoje vc padroniza nesse script, daqui a quinze minutos os switches vão estar todos diferentes de novo. Pior, pode até acontecer que os responsáveis pelas personalizações que forem retiradas voltem o switch à configuração anterior, por discordar da configuração que vc criou.

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

    #117875

    Anônimo

    Fala zekkerj,
    Isso foi discutido recentemente e a princípio todos concordaram com a padronização e controle nas alterações, mas preciso começar de alguma forma.
    Existem alguns projetos futuros que visam cercar e controlar ainda mais tais alterações, mas enquanto não chegam esses projetos preciso agir de alguma forma!

    Abs!

    0

    0
    #117876

    diegolc10
    Participante

    Cara acho que está perfeito, talvez só adicionar a versão 3 do VTP mas acho q não faz tanta diferença assim.

    Quando for padronizar o da rede aqui vou seguir o seu exemplo, parabéns.

    0

    0
    #117877

    Anônimo

    Valeu Diego!
    O VTP versão 3 eu devo adicionar quando eu for fazer a substituição do 6500 que temos como core, pois ACREDITO que teríamos algum impacto imediato nos vtp client alterando o vtp server atual visto que prevejo concluir esse trabalho dentro de alguns dias e não em uma tacada só.
    Obrigado pela resposta!

    Abs!

    0

    0
    #117878

    Daniel.Matozinhos
    Participante

    Eu uso um check list de configuração (que pode depois ser usado como script) para equipamentos, antes que eles sejam usados em ambientes de produção. Dessa forma, a configuração de todos os dispositivos fica padronizada. São configurações básicas, mas que julgo necessário, uma vez que podem haver vários técnicos configurando estes.

    Caso tenha interesse, posso-lhe disponibilizar.

    Espero ter ajudado.

    0

    0
    #117879

    Anônimo

    Olá Daniel,
    Por favor! Todo material será bem-vindo! Poderia me enviar?

    Abs!

    0

    0
    #117880

    Paganlango
    Participante

    Bom dia,

    Pegando o gancho do cara ai, gostaria de saber se os senhores conhecem alguma maneira ou script para configuração de equipamentos em massa, tenho pelo menos 3 mil roteadores na minha rede, as vezes preciso mudar um parâmetro como adicionar um servidor tacacs por exemplo, ou adicionar um servidor dns…Ai entrar um a um ou logar a medida que eu tiver que alterar algo específico é massante. Vi que tem alguns esquemas usando script no linux, alguém teria ai um exemplo?

    Obrigado!

    0

    0
    #117881

    Daniel.Matozinhos
    Participante

    @jsmacedo

    me passe seu email, por favor.

    0

    0
    #117882

    Anônimo

    @daniel.Matozinhos
    Pode enviar no [email protected]

    Obrigado!

    0

    0
    #117883

    Anônimo

    @paganlango
    Eu uso um script bem simples baseado em “send” e “expect”.
    Se quiser, me deixa seu e-mail que compartilho contigo.

    Abs!

    0

    0
    #117884

    Paganlango
    Participante

    opa!

    [email protected] manda ai Jsmacedo tô precisando bastante, ai se rolar uma explicação etc de como fazer para rodar manda lá, sou leigo nisso ai, “nunca vi nem comi só ouço falar”

    0

    0
    #117885

    Anônimo

    @paganlango

    Cara,
    Acabei de te enviar o que uso. Qualquer coisa responde lá!

    Abs!

    0

    0
    #117886

    Frederico Guilherme
    Participante

    @jsmacedo boa tarde !

    Consegue me enviar uma cópia desse script ? [email protected] ! Com relação a sua padronização eu só adicionaria a opção de backup, não sei como é sua rotina ai .. mas aqui na empresa optei por utilização de kron para gerar backup de tudo que é feito nos SWT.

    archive
    path tftp://XXX.XXX.XXX.XXX/dir_bkp/$h-$t
    write-memory

    kron occurrence BACKUP_OCCURRENCE at 0:01 1 recurring
    policy-list CONFIGURATION_BACKUP
    !
    kron policy-list CONFIGURATION_BACKUP
    cli write memory

    Fora isso acho que está show de bola seu script.

    Att,
    Fred

    0

    0
    #117887

    diegolc10
    Participante

    Daniel, me envia tmb cara, [email protected]

    Valeu

    0

    0
    #117888

    Edson
    Participante

    Fiz algo muito parecido no trabalho.

    Criei um script padrão para instalação de novos switches.

    Esses dois artigos me foram úteis para ter ideias:
    http://packetpushers.net/good-habits-for-basic-ethernet-switchport-provisioning-in-a-cisco-ios-environment/
    http://packetpushers.net/a-cisco-ios-template-with-commands-explanations-expecting-the-same-result/

    Achei uma ferramenta da CA, chamada Network Configuration Manager.
    Ela faz backup automático, controle de versão e é possível “auditar” a configuração.

    Por exemplo.
    Todas as caixas precisam usar o mesmo NTP, “ntp server 192.168.0.1 prefer”

    Ele valida quais equipamentos estão em conformidade e emite um relatório para os equipamentos que a configuração não está adequada.

    Comecei com coisas básicas, como NTP, Syslog, porém pretendo evoluir para padronizar coisas mais específicas.

    0

    0
    #117889

    Edson
    Participante

    Apenas um ponto de atenção;

    1 – Todas as caixas suportam VTP v3 ?

    2 – auto qos voip cisco-phone
    Se não tiver telefone e a pessoa usar CIPC ou Jabber, o autoQoS não vai funcionar

    3 – Posso te pedir esse script de configuração? Eu também tenho um check-list, posso te mandar para vc ter uma ideia.
    add [email protected]

    Abx

    0

    0
    #117890

    diegolc10
    Participante

    Galera, estava dando uma googada e vi que um pessoal coloca também broadcast e multicast supression com valores mais elevados em portas de uplink, alguém já usou? sempre usei em porta de acesso só….

    Outra coisa que vi foi para portas trunk que não são switches eles colocam spanning-tree portfast trunk, oq acham?

    Abraços

    0

    0
    #117891

    zekkerj
    Participante

    @edson: Se não tiver telefone e a pessoa usar CIPC ou Jabber, o autoQoS não vai funcionar

    Não vai funcionar, ou vai ser influenciado e funcionar mal?

    @diegolc10: Outra coisa que vi foi para portas trunk que não são switches eles colocam spanning-tree portfast trunk, oq acham?

    "spanning-tree porfast" é sempre um risco. Se você tiver CERTEZA de que essa porta nunca vai ser ligada a outro switch/bridge — e não esqueça que servidores podem fazer bridge internamente de uma porta pra outra —, pode ativar. Do contrário, "spanning-tree bpduguard enable" é seu amigo, é o ala no seu "six".

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

    #117892

    vinicius.miqueloti
    Participante

    Para ajudar os amigos que perguntaram no meio do tópico, configuração em massa de switches pode ser feita como já falaram utilizando “Expect”.

    É tipo (ou é de fato, não sei se é correto definir como linguagem) uma linguagem de programação com o intuito de emitir comandos a CLI de computadores/maquinas de forma remota (no caso de switches e routers, estes se enquadram por suportarem acesso remoto CLI via SSH/Telnet).

    Basicamente vc pode utilizar esta linguagem de script com diversas outras (como minha preferida para esta atividade, o bash script (ou shell script como queira chamar)).

    Como o bash manipula de forma muito fácil arquivos CSV (utilizando AWK, SED, GREP, RegEx, etc) podemos através de planilhas de excel ou base de dados convertido para arquivos csv executar configurações em massa a partir de um script modelo similar ao exemplo dado no post inicial deste tópico. bastando em cada linha colocar o IP e as variáveis, e fazendo a lógica para manipular estes valores, e inseri-los nos equipamentos.

    0

    0
    #117893

    Anônimo

    Fala @frederico Guilherme!
    Tudo em ordem?
    O backup optei por não incluir nesse momento porque estou fazendo um review do meu Cisco Prime, ou seja, a idéia e ter o backup feito pelo Prime.
    Quanto a enviar o script, você diz o script de “expect”, certo? Te envio sim!

    Abs!

    0

    0
    #117894

    Anônimo

    @edson: Essa ferramenta da CA é “free”? Googlei um pouco e não achei nada. Só achei ferramenta paga da CA e com outro nome. Outra coisa, sua observação sobre autoQoS também vale para o IP Comunicator da Cisco?
    Também te enviei o shell script.

    Abs!

    0

    0
    #117895

    Edson
    Participante

    Aloha pessoal!
    Desculpem pela demora…

    @zekkerj: Não vai funcionar, ou vai ser influenciado e funcionar mal?
    Funcionará mal, pois não terá o tráfego marcado adequadamente.

    Sobre o AutoQoS

    auto qos trust [cos ou dsc]
    — Confiará na marcação de CoS ou DSCP enviada pelo dispositivo

    auto qos trust voip [cisco-phone, cisco-softphone, trust]
    — Essa opção se baseia nas trocas de mensagens CDP para identificar um dispositivo que seja elegível para ter o tráfego marcado.
    — Supondo que o telefone seja Siemens e não suporte CDP, a porta não receberá a política de QoS
    — Caso o equipamento não suporte CDP, deve optar pelo parâmetro “trust” no final

    Esse documento é muito completo:
    http://ptgmedia.pearsoncmg.com/images/9781587143694/downloads/i9781587143694_app01.pdf

    @jsmacedo
    Recebi o script, muito obrigado, ainda não pus em uso.
    Essa ferramenta da CA é paga.
    Infelizmente a ferramenta CA Network Configuration Manager foi descontinuada, agora ela é um módulo do CA Spectrum NMS.

    0

    0
Visualizando 23 posts - 1 até 23 (de 23 do total)

Você deve fazer login para responder a este tópico.