Tweet
Network Assurance luôn là một mảng kiến thức cực kỳ thực tế và cũng đầy tính "cảnh giác". Làm sao để hệ thống tự động báo lỗi chính xác? Làm sao để gửi log bảo mật? Hay đơn giản là nhìn vào kết quả traceroute để biết ngay firewall/ACL nào đang chặn luồng traffic?
Hôm nay, mình xin tóm tắt lại một số case study kỹ thuật cốt lõi được trích xuất từ tài liệu cấu hình, tập trung vào Syslog, Embedded Event Manager (EEM) và kỹ năng troubleshooting, giúp anh em kỹ sư mạng vững tay hơn khi quản trị hạ tầng thực tế.
1. Nắm Trọn 8 Mức Độ Cảnh Báo Syslog (Severity Levels)
Khi đọc log trên thiết bị Cisco, con số kẹp giữa bản tin chính là chìa khóa. Ví dụ, trong bản tin %LINEPROTO-5-UPDOWN hay %LINK-3-UPDOWN, các số 5 và 3 cho chúng ta biết mức độ nghiêm trọng của sự kiện.
Để dễ nhớ, dân mạng chúng ta thường truyền tai nhau câu thần chú: "Everyone Always Complains Even When Nothing Is Difficult" tương ứng với 8 cấp độ từ 0 đến 7:
Mặc định, Syslog gửi qua mạng là không đáng tin cậy và không bảo mật. Khi thiết kế hạ tầng, chúng ta cần nhớ rõ các tiêu chuẩn vận chuyển (Transport) theo RFC:
3. Tự Động Hóa Xử Lý Sự Cố Với EEM (Embedded Event Manager)
EEM giống như một người trợ lý túc trực 24/7 bên trong Router/Switch Cisco. Chúng ta có thể dùng EEM để bắt (catch) một bản tin Syslog và tự động thực thi các hành động gỡ lỗi.
Ví dụ: Bạn muốn tự động bật tính năng "debug ip ospf" ngay khi OSPF neighborship bị rớt.
Chúng ta có thể viết một script EEM lắng nghe chính xác mẫu log từ trạng thái FULL chuyển sang DOWN của mức cảnh báo 5 (Notice):
event syslog pattern "%OSPF-5-ADJCHG: Process 5, Nbr 1.1.1.1 on Serial0/0 from FULL to DOWN"
Sau khi bắt được sự kiện, hành động kích hoạt sẽ là cấu hình lệnh sinh ra một bản log tùy chỉnh: action 1 syslog msg "OSPF ROUTING ERROR". Đây là cách rất hay để admin có thể nhận cảnh báo qua hệ thống monitor trung tâm kịp thời thay vì phải ngồi canh màn hình CLI.
4. Đọc Vị Traceroute: Ký Tự !A Nghĩa Là Gì?
Troubleshooting bằng lệnh traceroute là kỹ năng cơ bản, nhưng không phải ai cũng chú ý đến các mã lỗi trả về.
Giả sử bạn trace từ Router 1 đến Router 3 (thuộc cùng OSPF Area 0) nhưng kết quả bị Timeout làm đứt gánh giữa chừng và trả về mã !A. Điều này có nghĩa là gì?
Hy vọng những tóm lược cấu hình và phân tích phía trên sẽ giúp các anh chị em kỹ sư nhà ôn tập tốt các khái niệm cốt lõi của Network Assurance. Mọi người thường dùng công cụ gì để quản lý Syslog và EEM trong hạ tầng của mình? Cùng chia sẻ ở dưới phần bình luận nhé!
Hôm nay, mình xin tóm tắt lại một số case study kỹ thuật cốt lõi được trích xuất từ tài liệu cấu hình, tập trung vào Syslog, Embedded Event Manager (EEM) và kỹ năng troubleshooting, giúp anh em kỹ sư mạng vững tay hơn khi quản trị hạ tầng thực tế.
1. Nắm Trọn 8 Mức Độ Cảnh Báo Syslog (Severity Levels)
Khi đọc log trên thiết bị Cisco, con số kẹp giữa bản tin chính là chìa khóa. Ví dụ, trong bản tin %LINEPROTO-5-UPDOWN hay %LINK-3-UPDOWN, các số 5 và 3 cho chúng ta biết mức độ nghiêm trọng của sự kiện.
Để dễ nhớ, dân mạng chúng ta thường truyền tai nhau câu thần chú: "Everyone Always Complains Even When Nothing Is Difficult" tương ứng với 8 cấp độ từ 0 đến 7:
- 0 - Emergency (Emergency): Hệ thống tê liệt, không thể sử dụng.
- 1 - Alert (Always): Cần hành động can thiệp ngay lập tức.
- 2 - Critical (Complains): Tình trạng nguy kịch.
- 3 - Error (Even): Có lỗi xảy ra (Ví dụ: trạng thái LINK chuyển sang DOWN).
- 4 - Warning (When): Cảnh báo có dấu hiệu bất thường.
- 5 - Notice (Nothing): Mức thông báo, sự kiện bình thường nhưng quan trọng (Ví dụ: Interface thay đổi trạng thái giao thức).
- 6 - Informational (Is): Các tin nhắn thông tin đơn thuần.
- 7 - Debug (Difficult): Tin nhắn dùng để gỡ lỗi quá trình hoạt động.
Mặc định, Syslog gửi qua mạng là không đáng tin cậy và không bảo mật. Khi thiết kế hạ tầng, chúng ta cần nhớ rõ các tiêu chuẩn vận chuyển (Transport) theo RFC:
- UDP Port 514: Đây là mặc định, không bảo mật và không đảm bảo việc tin nhắn sẽ tới đích (Unreliable).
- TCP/UDP Port 601: Đảm bảo độ tin cậy (Reliable) nhưng vẫn chưa được mã hóa an toàn.
- TCP Port 6514: Sử dụng chung với TLS. Đây là lựa chọn hoàn hảo khi bạn cần luồng log vừa truyền tải đáng tin cậy qua TCP, vừa được bảo mật tuyệt đối.
3. Tự Động Hóa Xử Lý Sự Cố Với EEM (Embedded Event Manager)
EEM giống như một người trợ lý túc trực 24/7 bên trong Router/Switch Cisco. Chúng ta có thể dùng EEM để bắt (catch) một bản tin Syslog và tự động thực thi các hành động gỡ lỗi.
Ví dụ: Bạn muốn tự động bật tính năng "debug ip ospf" ngay khi OSPF neighborship bị rớt.
Chúng ta có thể viết một script EEM lắng nghe chính xác mẫu log từ trạng thái FULL chuyển sang DOWN của mức cảnh báo 5 (Notice):
event syslog pattern "%OSPF-5-ADJCHG: Process 5, Nbr 1.1.1.1 on Serial0/0 from FULL to DOWN"
Sau khi bắt được sự kiện, hành động kích hoạt sẽ là cấu hình lệnh sinh ra một bản log tùy chỉnh: action 1 syslog msg "OSPF ROUTING ERROR". Đây là cách rất hay để admin có thể nhận cảnh báo qua hệ thống monitor trung tâm kịp thời thay vì phải ngồi canh màn hình CLI.
4. Đọc Vị Traceroute: Ký Tự !A Nghĩa Là Gì?
Troubleshooting bằng lệnh traceroute là kỹ năng cơ bản, nhưng không phải ai cũng chú ý đến các mã lỗi trả về.
Giả sử bạn trace từ Router 1 đến Router 3 (thuộc cùng OSPF Area 0) nhưng kết quả bị Timeout làm đứt gánh giữa chừng và trả về mã !A. Điều này có nghĩa là gì?
- Chữ !A (Administratively prohibited) báo hiệu rằng gói tin đã bị chặn lại bởi một cấu hình quản trị viên, cụ thể thường là Access Control List (ACL).
- Đằng sau nó, thiết bị chặn (thường là Router đích hoặc Router trung gian) đã trả về cho nguồn một bản tin ICMP Type 3 (Destination Unreachable) kèm Code 13 (Communication administratively filtered).
Hy vọng những tóm lược cấu hình và phân tích phía trên sẽ giúp các anh chị em kỹ sư nhà ôn tập tốt các khái niệm cốt lõi của Network Assurance. Mọi người thường dùng công cụ gì để quản lý Syslog và EEM trong hạ tầng của mình? Cùng chia sẻ ở dưới phần bình luận nhé!