Konfigurace síťových zařízení

Posted on by P. Varga
Konfigurace síťových zařízení

Proč systematická konfigurace záleží

Správa síťových zařízení (routery, switche) vyžaduje konzistentní postupy, aby byla síť stabilní, bezpečná a snadno udržovatelná. Tento návod popisuje ověřený krok za krokem postup od plánování přes prvotní přístup až po automatizaci, monitoring a řešení problémů. Uvádí univerzální principy a ilustrační příkazy pro běžné platformy (např. Cisco IOS/IOS-XE, Juniper Junos, MikroTik RouterOS) formou krátkých vložek v textu.

Krok 1: Plánování a příprava

  • Definujte cíle: kapacita, dostupnost, segmentace (VLAN), bezpečnostní úroveň, požadavky na QoS.
  • Vypracujte adresační plán: rozsahy IPv4/IPv6, délky prefixů, vyhrazené management segmenty, loopbacky pro směrovače.
  • Topologie: fyzická (kabeláž, porty, PoE) a logická (VLAN, L3 rozhraní, routovací domény).
  • Inventář a verze: modely, sériová čísla, verze OS, dostupné licence/feature sady, podpora.
  • Bezpečnostní zásady: politika přístupu, správa klíčů a certifikátů, standardy šifrování, požadavky na logování.
  • Plán rollbacku: jak rychle vrátit konfiguraci při potížích, kde jsou zálohy a kdo má pravomoci.

Krok 2: Fyzické zapojení a základní kontrola

  • Zkontrolujte štítky portů, SFP/optic typu a podporované rychlosti/duplex.
  • Ověřte napájení a chlazení (počet PSU, proudění vzduchu, PoE budget).
  • Proveďte základní test linky: link up, vyjednání rychlosti, chybovost (CRC).
  • Připravte konzolový přístup (USB/RS-232) jako nouzový kanál, i když bude preferován vzdálený management.

Krok 3: První přístup a zabezpečení managementu

První krok po připojení je bezpečit management. Ideálně provádějte na izolovaném portu v management VLAN.

  • Účty a AAA: vytvořte lokální administrátorský účet a nastavte AAA integraci (RADIUS/TACACS+). Např. Cisco: username admin privilege 15 secret <heslo>, aaa new-model.
  • SSH a vypnutí Telnetu: vygenerujte klíče a povolte pouze SSHv2. Např. Cisco: crypto key generate rsa, ip ssh version 2.
  • Management ACL: omezte zdrojové IP, které se mohou připojit k VTY. Např. access-list 10 permit <IP-subnet správy>, line vty 0 4, access-class 10 in.
  • Banner a audit: přidejte právní upozornění (banner motd) a zapněte logování změn (Syslog, RADIUS accounting).
  • Čas a NTP: synchronizujte čas (ntp server, clock timezone) a povolte secure NTP, pokud platforma umí.

Krok 4: Základní identita zařízení

  • Hostname a doména: např. hostname R1-EDGE-PRA, ip domain-name example.local.
  • Management rozhraní: statická IP v management VLAN/VRF, maska, brána, DNS.
  • Loopback: na routerech definujte Loopback0 pro stabilní identifikátor v IGP/BGP.
  • Disable unused: vypněte nepoužité porty a nastavte port-security policy.

Krok 5: Segmentace sítě (VLAN, VRF)

  • Návrh VLAN: jednoznačné číslování a názvy (např. VLAN 10 USERS, VLAN 20 VOICE, VLAN 99 MGMT).
  • Trunky: vyhraďte uplinky jako trunk, omezte povolené VLAN (pravidlo: povolujte jen potřebné).
  • Native VLAN: sjednoťte napříč sítí a pokud možno ji nepoužívejte pro produkční provoz.
  • VRF: oddělte routing tabulky (např. vrf definition MGMT) pro management, partnery nebo zákazníky.

Krok 6: L2 hygienické mechanismy

  • Spanning Tree: nastavte RSTP/MSTP, určete root bridge, aktivujte BPDU Guard, Root Guard a Loop Guard.
  • Storm Control: limitujte broadcast/multicast/unicast bouře na přístupových portech.
  • Portfast: povolte na edge portech připojených k hostům, nikdy na trunk k dalším switchům.
  • EtherChannel/LACP: agregujte uplinky pro vyšší kapacitu a redundanci.

Krok 7: L3 konfigurace a směrování

  • SVI/Layer3 porty: na distribuční vrstvě vytvořte SVI pro VLAN a přiřaďte IP (např. interface Vlan10, ip address 10.10.10.1/24).
  • IGP (OSPF/IS-IS): inzerujte loopbacky a tranzitní linky, nastavte passive-interface pro přístupové VLAN.
  • BGP (edge): definujte ASN, sousedy, politiky (import/export), max-prefix ochranu a filtry (prefix-list).
  • Statické trasy: používejte střídmě, ideálně pro výchozí bránu nebo speciální cesty.
  • ECMP: povolte vyvážení zatížení u paralelních tras, kontrolujte hashovací algoritmy.

Krok 8: Služby v síti (DHCP, DNS, NAT)

  • DHCP: definujte pooly, rezervace a option 43/60 pro VoIP/AP, omezte relay na známé VLAN (ip helper-address).
  • DNS: nastavte resolvery a split-horizon podle potřeby; filtrujte dotazy z nežádoucích segmentů.
  • NAT/PAT: na edge směrovačích nastavte pravidla, logování a vyjímky pro interní služby.

Krok 9: Bezpečnostní zpevnění (Hardening)

  • Řízení přístupu: ACL/Firewall policy na rozhraních, implicitní deny, povolujte pouze požadované porty/protokoly.
  • Control Plane Protection: limitujte a filtrujte provoz do CPU (např. CoPP třídy pro BGP, OSPF, ICMP).
  • 802.1X/MAB: autentizace koncových zařízení na přístupových portech, VLAN přiřazení po úspěchu/selhání.
  • MACsec/IPsec: šifrování na L2/L3 spojích, kde to požaduje politika nebo legislativa.
  • Oddělení managementu: MGMT VRF, out-of-band přístup a SSH only.
  • Bezpečné protokoly: preferujte SNMPv3, HTTPS pro GUI, vypněte nepotřebné služby (CDP/LLDP jen kde dává smysl).

Krok 10: QoS a řízení provozu

  • Identifikace (class-map): rozlište hlas, video, kritické aplikace, management a best-effort.
  • Označování (marking): stanovte konzistentní DSCP/CoS model na hranách sítě.
  • Fronty a shaping: definujte LLQ pro hlas, WRED pro datové třídy, případně policing na vstupech.
  • Konec-konec: QoS musí být konzistentní napříč doménami (přepínače, routery, WLAN, WAN).

Krok 11: Monitorování, telemetrie a logování

  • SNMPv3: nastavte authPriv uživatele, posílejte trapy/informy na NMS.
  • Syslog: odesílejte na centralizovaný syslog (min. úroveň warning a výš pro kritické události).
  • NetFlow/IPFIX: exportujte statistiky toků pro kapacitní plánování a detekci anomálií.
  • Model-driven telemetrie: tam, kde je podpora, využijte streamované YANG/GPB.
  • Práh a alerty: definujte metriky (CPU, paměť, teplota, chybovost portů, BGP sessions) a eskalační politiku.

Krok 12: Zálohování, verzování a řízení změn

  • Konfigurační zálohy: automaticky ukládejte po každé změně do verzovacího systému (např. Git) s komentářem.
  • Golden image: udržujte ověřené verze OS a balíčky odděleně od nejnovějších.
  • Change management: každá změna má tiket, plán, okno, test, rollback a post-implementační kontrolu.

Krok 13: Automatizace a škálování

  • Šablony: standardizujte hostname, banner, AAA, NTP, SNMP, Syslog, QoS a ACL pomocí šablon.
  • Infrastructure as Code: ukládejte deklarativně (např. Ansible, Terraform, Nornir) a spouštějte přes CI/CD pipeline s validací.
  • Modely/YANG: kde je podpora, využijte NETCONF/RESTCONF pro idempotentní změny a audit.
  • Zero Touch Provisioning (ZTP): bootstrap bez manuálních zásahů, ověřování přes certifikáty a podpisy image.

Krok 14: Testování a předání do provozu

  • Test konektivity: pingy/trace v rámci VLAN i napříč, ověření gateway, DNS, DHCP, NAT.
  • Test protokolů: sousedství OSPF/BGP, konvergence, prahové hodnoty CPU/RAM při zátěži.
  • Test redundance: výpadek linky, přepnutí HSRP/VRRP, LACP failover, STP změny.
  • Bezpečnostní testy: skeny portů, ověření ACL/Firewallu, 802.1X chování, CoPP míry.
  • Dokumentace: aktualizujte diagramy, IP plán, hesla v trezoru, provozní manuály.

Praktické mini-recepty (ilustrační příkazy)

  • Cisco – základ managementu: hostname SW-ACC-01, ip domain-name corp.local, username netops secret ***, aaa new-model, crypto key generate rsa modulus 4096, ip ssh version 2, line vty 0 4, transport input ssh.
  • Cisco – VLAN a trunk: vlan 10, name USERS, interface Gi1/0/24, switchport mode trunk, switchport trunk allowed vlan 10,20,99.
  • Cisco – SVI a OSPF: interface Vlan10, ip address 10.10.10.1 255.255.255.0, router ospf 10, network 10.10.10.0 0.0.0.255 area 0.
  • Junos – SSH a uživatel: set system host-name EX-ACC-01, set system services ssh, set system login user admin class super-user authentication plain-text-password.
  • Junos – VLAN a L3: set vlans USERS vlan-id 10, set interfaces irb unit 10 family inet address 10.10.10.1/24, set vlans USERS l3-interface irb.10.
  • RouterOS – management a bridge: /user add name=admin group=full password=***, /ip ssh set strong-crypto=yes, /interface bridge add name=br1, /interface bridge port add bridge=br1 interface=ether2, /ip address add interface=br1 address=10.10.10.2/24.

Standardní bezpečnostní baseline

  • Vynucené MFA pro administrátory, rotace klíčů a hesel, trezor tajemství.
  • Konfigurační standard pro bannery, AAA, NTP, Syslog, SNMPv3, NetFlow, CoPP.
  • Minimalizace plochy útoku: vypněte nepoužité služby, filtrujte L2/L3 kontrolní provoz.
  • Segmentace managementu: samostatná VRF/VLAN, přístup jen z bezpečných jump hostů.
  • Šifrování end-to-end: SSHv2, HTTPS s TLS 1.2+, IPsec/MACsec dle potřeby.

Provozní checklist před nasazením

  1. Hostname, doména, čas, NTP, časová zóna.
  2. AAA a SSH, zakázaný Telnet, management ACL.
  3. VLAN/VRF, trunky, STP root a ochrany.
  4. SVI/L3 rozhraní, routování (OSPF/BGP), default route.
  5. DHCP/DNS/NAT politiky a výjimky.
  6. QoS třídy, marking, fronty.
  7. SNMPv3, Syslog, NetFlow, prahy a alerty.
  8. Zálohování konfigurace, golden image, rollback plán.
  9. Dokumentace a předávací protokol.

Řešení problémů (Troubleshooting) krok za krokem

  • Vrstva 1 (fyzická): stav portu, link up/down, chybovost, SFP typ, napájení PoE.
  • Vrstva 2: VLAN membership, trunk povolené VLAN, STP role/stavy, MAC tabulka (show mac address-table).
  • Vrstva 3: ARP/ND, směrovací tabulka, sousedství OSPF/BGP, ping/traceroute per-VRF.
  • Bezpečnost: ACL hit-count, firewall session table, CoPP dropy, 802.1X stav supplicantů.
  • Výkon: CPU, paměť, fronty, zahozené pakety, NetFlow top-talkers.
  • Metodika: vždy měňte jednu věc v čase, zapisujte, ověřujte před/po, využívejte zrcadlení portu (SPAN) pro hlubší analýzu.

Dokumentace a provozní disciplína

  • Aktualizované diagramy (fyzické/logické), IP plán a tabulka VLAN/VRF.
  • Seznam standardních šablon a výjimek včetně odůvodnění.
  • Runbooky pro incidenty (např. výpadek uplinku, flapping BGP, smyčky L2).
  • Pravidelné revize konfigurací (linting, compliance), penetrační testy a audit přístupů.

Tipy pro škálování a budoucí rozvoj

  • Preferujte declarative-first automatizaci a validaci konfigurací před nasazením (syntaxe, compliance, bezpečnost).
  • Standardizujte hardware a obrazy, aby se zkrátil MTTR a zjednodušily testy.
  • Využívejte telemetrii pro kapacitní plánování (trend port utilization, p95 latence, zahození front).
  • Postupně přecházejte na model-driven rozhraní (NETCONF/RESTCONF/gNMI) a intent-based řízení.

Závěr

Konfigurace síťových zařízení je nejefektivnější, pokud se řídí pevnou metodikou: plánovat, zabezpečit, segmentovat, směrovat, měřit a automatizovat. Dodržování uvedených kroků, baseline politik a provozní disciplíny přináší předvídatelné chování sítě, vyšší bezpečnost a nižší náklady na provoz i rozvoj.

Related Posts

KPI penzie

KPI penzie

KPI penzie: sleduj mieru čerpania, pokrytie výdavkov a rezervu; pravidelný „dashboard“ drží plán v bezpečných hranách.

kontinuita služieb / continuity of service

Kontinuita služieb v ekonomike výrobkov Kontinuita služieb predstavuje zabezpečenie nepretržitého poskytovania služieb a zaistenia výrobkov vymedzením administratívnych alebo technických hraníc. Termín „Continuity of Service“ zohráva […]

Konzistentnosť

Konzistentnosť Konzistentnosť (consistency) je taká vlastnosť estimátora a, ak jeho rozdelenie pravdepodobnosti s rastom veľkosti výberového súboru sa degeneruje do jedného bodu, ktorým je skutočný […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *