Zarządzanie i Monitorowanie Sieci Komputerowych v.2010b ZADANIE.01

Transkrypt

1 ZADANIE.01 Imię Nazwisko ZADANIE.01 Wprowadzenie do ZiMSK (budowa sieci, połączenie konsolowe, usuwanie konfiguracji urządzeń) 1h 1. Zbudować sieć laboratoryjną 2. Rozpocząć konfigurację urządzeń (poprzez konsolę) 3. Usunąć hasła z urządzeń 4. Skasować konfiguracje startowe urządzeń - 1 -

2 ZADANIE Zbudować sieć laboratoryjną Zadanie Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią. Topologia sieci laboratoryjnej / 28 OUTSIDE dmz security-level 50 outside security-level / 25 inside security-level / / 8-2 -

3 ZADANIE.01 Materiał pomocniczy Identyfikacja urządzeń i interfejsów Przełącznik sieciowy (Switch) Dostępny sprzęt: Cisco modele 1900, 2900, 2950, 2960, Interfejsy: Ethernet do przyłączenia urządzeń sieciowych; 1-24: 10/100Mb/s; 1-2: 10/100/1000Mb/s - 3 -

4 ZADANIE.01 Console do zarządzania urządzeniem w trybie tekstowym poprzez interfejs szeregowy COM. Uwaga: znajduje się z tyłu urządzenia. Medium: kabel miedziany, skrętka cat. 5e i 6. Zastosowanie: sieci lokalne (LAN). Router (Router) Dostępny sprzęt: Cisco modele 2500, 2600, Interfejsy: Ethernet do połączenia z siecią LAN, szybkość 10/100 Mb/s. Serial do połączenia z siecią WAN, porty szeregowe (synchroniczne T, asynchroniczne A/S), protokoły: PPP, Frame Relay, szybkość maks. 8 Mb/s. Console do połączenia szeregowego z hostem, umożliwia pełną konfigurację urządzenia. Medium: LAN: kabel miedziany, skrętka cat. 5e i 6. WAN: kabel miedziany, Smart Serial (26 Pin Male). Zastosowanie: sieci lokalne (LAN), sieci rozległe (WAN)

5 ZADANIE.01 Zapora ogniowa (Firewall: PIX albo ASA) Dostępny sprzęt: Cisco PIX model 515E oraz ASA model Interfejsy: Ethernet do połączenia ze strefami o różnym poziomie bezpieczeństwa (np. inside, outside, dmz, itp.), szybkość 10/100 Mb/s. Console do połączenia szeregowego z hostem, umożliwia pełną konfigurację urządzenia. Medium: kabel miedziany, skrętka cat. 5e i 6. Zastosowanie: łączenie sieci o różnym poziomie bezpieczeństwa

6 ZADANIE.01 Identyfikacja okablowania Serialowe: Smart Serial 26 pin. Ethernetowe: Skrętka cat. 5e i 6, zakończona wtykami RJ-45. Rodzaje: prosty (przyłączanie urządzeń i hostów do switch a), krosowy (pozostałe połączenia w tym połączenia pomiędzy switch ami), rollover (połączenia konsolowe)

7 ZADANIE.01 Sprawozdanie Podać oznaczenia portów, do których zostały podłączone: Hosty:. PIX/ASA:. Podać oznaczenia portów, do których zostały podłączone: Switch:. Router:. Serwer ze strefy dmz:. Podaj oznaczenia portów, do których zostały podłączone: PIX/ASA:. Serwer w strefie outside:

8 ZADANIE Rozpocząć konfigurację urządzeń (poprzez konsolę) Zadanie Podłączyć wybrane hosty do portów konsoli w urządzeniach sieciowych pracujących w sieci laboratoryjnej (Switch, Router, PIX). Materiał pomocniczy Podłączanie do portu konsoli Podłączyć kabel rollover do złącza RJ-45 portu konsoli. Podłączyć drugi koniec kabla rollover do przejściówki z RJ-45 na DB-9. Podłączyć przejściówkę do złącza DB-9 portu szeregowego komputera

9 ZADANIE.01 Ustanawianie sesji konsoli przy użyciu programu HyperTerminal Uruchomić program HyperTerminal. Nadać dowolną nazwę sesji programu HyperTerminal. Wybrać interfejs szeregowy (COM) łączący urządzenie z komputerem. Określić właściwości połączenia (dla interfejsu szeregowego): Bits per second (Liczba bitów na sekundę): 9600 Data bits (Bity danych): 8 Parity (Parzystość): None (Brak) Stop bits (Bity stopu): 1 Flow control (Sterowanie przepływem): None (Brak) Sprawozdanie Jaki przycisk należy nacisnąć aby w HyperTerminal u pokazał się znak zachęty? - 9 -

10 ZADANIE Usunąć hasła z urządzeń Zadanie Usunąć hasła z urządzeń sieciowych pracujących w sieci laboratoryjnej (Switch, Router, PIX). Materiał pomocniczy Procedura usuwania hasła Urządzenie Model 2960, 2950, 2900 Sprawdzić czy komputer jest podłączony do portu konsoli i czy jest otwarte okno programu HyperTerminal. Sprawdzić czy zostały założone hasła: o nacisnąć Enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Switch> o wpisać polecenie enable, czy pojawił się znak zachęty Switch# Jeśli choć jeden z trybów nie jest dostępny należy usunąć hasło. Wyłączyć przełącznik. Włączyć go ponownie, przytrzymując wciśnięty przycisk MODE, który znajduje się z przodu przełącznika. Zwolnić przycisk MODE, gdy zgaśnie dioda LED oznaczona etykietą STAT. Aby zainicjalizować system plików należy użyć następujących poleceń: flash_init load_helper Wpisać polecenie dir flash: aby sprawdzić zawartość pamięci flash przełącznika. Plik o rozszerzeniu.bin to system operacyjny np. c2900xl-c3h2s-mz wc7.bin

11 ZADANIE.01 Plik o nazwie config.text to plik z konfiguracją urządzenia (także hasłami). Plik o nazwie vlan.dat to plik z konfiguracją sieci VLAN. Zmienić nazwę pliku konfiguracyjnego wpisując polecenie: rename flash:config.text flash:config.old Wpisać polecenie boot, aby rozpocząć ładowanie systemu operacyjnego. Aby pominąć tryb setup (konfiguracja poprzez pytania systemu i odpowiedzi użytkownika) należy nacisnąć Crtl+C. Sprawdzić czy hasła zostały usunięte: o nacisnąć Enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Switch> o wpisać polecenie enable, czy pojawił się znak zachęty Switch# Jeśli pojawił się znak zachęty Switch# oznacza to, iż hasła zostały usunięte. Urządzenie Model 2600, 2800 Sprawdzić czy komputer jest podłączony do portu konsoli i czy jest otwarte okno programu HyperTerminal. Sprawdzić czy zostały założone hasła: o nacisnąć Enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Router> o wpisać polecenie enable, czy pojawił się znak zachęty Router# Jeśli choć jeden z trybów nie jest dostępny należy usunąć hasło. Wyłączyć router. Włączyć go ponownie. W trakcie uruchamiania routera (pierwsze sekund) nacisnąć kombinację Crtl+Break aby przejść do trybu ROMMON

12 ZADANIE.01 Wpisać polecenie, które umożliwi pominięcie ładowania pliku konfiguracyjnego przy starcie systemu: confreg 0x2142 Uruchomić ponownie router, miękki restart, poleceniem reset. Router uruchomi się ale pominie plik konfiguracyjny. Aby pominąć tryb setup (konfiguracja poprzez pytania systemu i odpowiedzi użytkownika) należy nacisnąć Crtl+C. Sprawdzić czy hasła zostały usunięte: o nacisnąć Enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Router> o wpisać polecenie enable, czy pojawił się znak zachęty Router# Jeśli pojawił się znak zachęty Router# oznacza to, iż hasła zostały usunięte. Aby przywrócić wczytywanie pliku konfiguracyjnego przy starcie systemu należy przejść do trybu konfiguracji globalnej (configure terminal) i wprowadzić polecenie: config-register 0x2102 Urządzenie Model 515E Sprawdzić czy komputer jest podłączony do portu konsoli i czy jest otwarte okno programu HyperTerminal. Sprawdzić czy zostały założone hasła: o nacisnąć Enter po uruchomieniu urządzenia, czy pojawił się znak zachęty PIX> o wpisać polecenie enable, czy pojawił się znak zachęty PIX# Jeśli choć jeden z trybów nie jest dostępny należy usunąć hasło. Wyłączyć PIX. Włączyć go ponownie

13 ZADANIE.01 W trakcie uruchamiania PIX (pierwsze sekund) nacisnąć kombinację Crtl+Break aby przejść do trybu MONITOR. Skonfigurować PIX tak aby można było pobrać z serwera TFTP plik usuwający hasła: o połączyć host (z uruchomionym serwerem TFTP) z jednym z interfejsów Ethernet PIX o jeśli jest to interfejs 0 wpisać polecenie: interface 0 o nadać adres IP temu interfejsowi (np ): address o podać adres serwera TFTP (np ): server o podać nazwę pliku do odzyskiwania hasła - wersja i nazwa pliku zależy od wersji systemu operacyjnego (np. np70.bin): file np70.bin o podać adres bramy domyślnej (adres serwera TFTP): gateway o sprawdzić komunikację z serwerem TFTP: ping o aby rozpocząć pobieranie pliku wydać polecenie: tftp Postępować zgodnie z informacjami wyświetlanymi na konsoli. Procedura usuwania hasła została zakończona. Urządzenie Model 5510 Wyłączyć a następnie włączyć ASA. Podczas uruchamiania urządzenia nacisnąć Escape aby wejść do trybu ROMMON. Aby urządzenie pomijało ładowanie konfiguracji startowej przy uruchomieniu wprowadzić polecenie: confreg 0x40 Rozpocząć proces uruchamiania urządzenia poleceniem: boot

14 ZADANIE.01 ASA załaduje domyślną, pustą konfigurację zamiast zapisanej konfiguracji startowej. Przejść do trybu uprzywilejowanego (EXEC) poleceniem: enable Gdy pojawi się pytanie o hasło nacisnąć Enter. Pojawienie się znaku zachęty trybu uprzywilejowanego (ASA#), oznacza brak hasła. Przejść do trybu konfiguracji globalnej poleceniem: configure terminal Zmienić ponownie rejestr tak aby urządzenie przy kolejnym uruchomieniu wczytywało konfigurację startową: config-register 0x1 Sprawozdanie Czy hasła zostały usunięte? Czy konfiguracja startowa została usunięta z pamięci? Czy hasła zostały usunięte? Czy konfiguracja startowa została usunięta z pamięci? Czy hasła zostały usunięte? Czy konfiguracja startowa została usunięta z pamięci?

15 ZADANIE Kasowanie konfiguracji startowych Urządzenie Model 2960, 2950, 2900 Switch> enable Switch# erase startup-config Switch# delete flash:vlan.dat Switch# reload System configuration has been modified. Save? [yes/no]: n Urządzenie Model 2600, 2800 Router> enable Router# erase startup-config Router# reload System configuration has been modified. Save? [yes/no]: n Urządzenie Model PIX 515E, ASA 5510 PIX> enable PIX# configure terminal PIX(config)# write erase PIX# reload System configuration has been modified. Save? [yes/no]: n

16 ZADANIE.01 Sprawozdanie Czy konfiguracja startowa została usunięta pamięci? Czy po ponownym uruchomieniu urządzenie pyta o przejście w tryb setup? Czy konfiguracja startowa została usunięta pamięci? Czy po ponownym uruchomieniu urządzenie pyta o przejście w tryb setup? Czy konfiguracja startowa została usunięta pamięci? Czy po ponownym uruchomieniu urządzenie pyta o przejście w tryb setup?

17 ZADANIE.02 Imię Nazwisko ZADANIE.02 Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h 1. Zbudować sieć laboratoryjną 2. Podstawowe informacje dotyczące obsługi systemu operacyjnego (na przykładzie Routera) 3. Wykonać podstawową konfigurację urządzeń 4. Skonfigurować interfejsy urządzeń 5. Zweryfikować konfiguracje i działanie interfejsów 6. Zarządzanie konfiguracjami urządzeń - 1 -

19 ZADANIE Podstawowe informacje dotyczące obsługi systemu operacyjnego (na przykładzie Routera) Tryby poleceń Użytkownika (user mode) Router> Przejście do trybu: Dostępny bezpośrednio po podłączeniu konsoli. Opuszczenie trybu: Polecenia: exit, logout. Zastosowanie: Dostęp do podstawowych informacji o routerze. Uprzywilejowany (privileged mode) Router# Przejście do trybu: Polecenie enable w trybie użytkownika. Opuszczenie trybu: Polecenia: disable, exit, logout. Zastosowanie: Szczegółowe informacje o routerze, dostęp do trybu konfiguracji

20 ZADANIE.02 Konfiguracji globalnej (global configuration) Router(config)# Przejście do trybu: Polecenie configure terminal w trybie uprzywilejowanym. Opuszczenie trybu: Polecenia: exit, end, Ctrl+Z. Zastosowanie: Konfiguracja globalnych ustawień router a. Konfiguracji szczegółowej (specific configuration) np.: Router(config-if)# Przejście do trybu: Polecenie zależy od tego co będziemy konfigurować Opuszczenie trybu: Polecenia: exit. np.: interface fastethernet 0/0 Zastosowanie: Konfiguracja szczegółowych ustawień elementów router a. Listowanie komend wybranego trybu poleceń Przejdź do wybranego trybu poleceń (np. trybu uprzywilejowanego). Listowanie dostępnych komend:? Na ekranie wyświetlane są maksymalnie 22 linie jednocześnie. Jeśli linii jest więcej pokaże się znak --More-- Naciśnięcie Enter przesunięcie o jeden wiersz. Naciśniecie spacji przesunięcie o kolejny ekran. Listowanie argumentów wybranego polecenia (przykład dla polecenia clock) Przejście do trybu uprzywilejowanego. Wyświetlenie dostępnych w tym trybie poleceń: Router#? Wyświetlenie dostępnych poleceń rozpoczynające się od znaków cl: Router# cl? Dostępne argumenty polecenia clock: Router# clock? Kolejne argumenty polecenia clock: Router# clock set? Router# clock set 10:30:00? - 4 -

21 ZADANIE.02 Jeśli użytkownik popełni błąd w składni polecenia, miejsce błędu zostanie oznaczone za pomocą znaku ^ Funkcje edycyjne Ctrl + A Ctrl + E Esc + B Ctrl + F Ctrl + B Esc + F Przejście na początek wiersza poleceń Przejście na koniec wiersza poleceń Jedno słowo do tyłu Jeden znak do przodu Jeden znak do tyłu Jedno słowo do przodu Historia poleceń Ustawianie wielkości bufora poleceń: terminal history size 256 Uwagi: domyślna liczba poleceń to 10, maksymalna liczba poleceń to 256. Wyświetlenie zawartości bufora poleceń: show history Przywoływanie poleceń: Ctrl + P lub (starsze polecenia) Ctrl + N lub (nowsze polecenia) Wyłączanie historii poleceń: no terminal editing Włączanie historii poleceń: terminal editing Rozwijanie poleceń Automatyczne kończenie rozpoczętej komendy lub atrybutu: TAB - 5 -

22 ZADANIE Wykonać podstawową konfigurację urządzeń Zadanie Skonfigurować nazwę urządzenia oraz hasło ograniczające dostęp do trybu uprzywilejowanego zgodnie z tabelą: Urządzenie Nazwa urządzenia Hasło do trybu uprzywilejowanego dowolna dowolne dowolna dowolne dowolna dowolne Materiał pomocniczy Konfigurowanie nazwy urządzenia W celu nadania urządzeniu unikatowej nazwy należy w trybie konfiguracji globalnej wydać polecenie: hostname(config)# hostname <nazwa urządzenia> Konfigurowanie hasła do trybu uprzywilejowanego (privileged EXEC) Hasła należy skonfigurować przede wszystkim dla trybu uprzywilejowanego. hostname(config)# enable password <hasło> Uwaga: Hasło nieszyfrowane - 6 -

23 ZADANIE.02 hostname(config)# enable secret <hasło> Uwaga: Hasło szyfrowane hostname(config)# enable password <hasło> Uwaga: Hasło szyfrowane Sprawozdanie Jaka nazwa została nadana urządzeniu? Czy przy wejściu do trybu uprzywilejowanego pojawiło się pytanie o hasło przed jego skonfigurowaniem? Jaka nazwa została nadana urządzeniu? Czy przy wejściu do trybu uprzywilejowanego pojawiło się pytanie o hasło przed jego skonfigurowaniem? Jaka nazwa została nadana urządzeniu? Czy przy wejściu do trybu uprzywilejowanego pojawiło się pytanie o hasło przed jego skonfigurowaniem? - 7 -

24 ZADANIE Skonfigurować interfejsy urządzeń Zadanie Skonfigurować wybrane interfejsy urządzeń zgodnie z tabelami: Urządzenie VLAN Port (do PIX) Porty (do hostów) VLAN ID: 1 Adres IP: zgodnie z topologią sieci Maska sieci: zgodnie z topologią sieci Brama domyślna: zgodnie z topologią sieci Typ: Ethernet Szybkość: auto Duplex: auto Typ: Ethernet Szybkość: 10Mbit/s Duplex: auto Urządzenie Interfejs (do PIX) Interfejs (do Serwera na OUTSIDE) Typ: Ethernet Adres IP: zgodnie z topologią sieci Maska sieci: zgodnie z topologią sieci Szybkość: auto Duplex: auto Typ: Ethernet Adres IP: zgodnie z topologią sieci Maska sieci: zgodnie z topologią sieci Szybkość: auto Duplex: auto Urządzenie Interfejs (do Switch a) Interfejs (do Serwera w dmz) Interfejs (do Router a) Typ: Ethernet Typ: Ethernet Typ: Ethernet Nazwa: inside Nazwa: dmz Nazwa: outside Poziom bezpieczeństwa: 100 Poziom bezpieczeństwa: 50 Poziom bezpieczeństwa: 0 Adres IP: zgodnie z topologią sieci Adres IP: zgodnie z topologią sieci Adres IP: zgodnie z topologią sieci Maska sieci: zgodnie z topologią sieci Maska sieci: zgodnie z topologią sieci Maska sieci: zgodnie z topologią sieci Szybkość: auto Szybkość: auto Szybkość: auto Duplex: auto Duplex: auto Duplex: auto - 8 -

25 ZADANIE.02 Materiał pomocniczy Konfigurowanie interfejsów Ethernet Każdy interfejs Ethernet musi mieć zdefiniowany adres IP i maskę podsieci, aby mógł przesyłać pakiety IP. Ustawienie adresu IP (potrzebnego tylko do zarządzania np. przez TELNET) wykonuje się dla wybranego VLAN (czyli wszystkich portów, które do niego należą). Konfiguracja adresu IP, maski sieci oraz bramy domyślnej dla VLAN: Switch(config)# interface VLAN <nr VLAN> Switch(config-if)# ip address <adres IP> <maska sieci> Switch(config)# ip default-gateway <adres IP bramy> Ustawianie parametrów portu switch a: Switch(config)# interface fastethernet <nr portu> Switch(config-if)# speed <auto > Switch(config-if)# duplex <auto full half> Przejście do trybu konfigurowania wybranego interfejsu: Router(config)# interface fastethernet <nr interfejsu> - 9 -

26 ZADANIE.02 Wprowadzenie adresu interfejsu i maski podsieci: Router (config-if)# ip address <adres IP> <maska sieci> Włączenie interfejsu: Router (config-if)# no shutdown Ustawienie opcji dodatkowych: Router(config-if)# speed <auto > Router(config-if)# duplex <auto full half> Ustawienie opisu interfejsu (nie wpływa na funkcjonowanie routera): Router(config-if)# description <dowolny tekst> Konfiguracja wybranego interfejsu Ethernet: PIX(config)# interface ethernet <nr interfejsu > PIX(config-if)# nameif <nazwa interfejsu > Po ustawieniu nazwy na inside automatycznie security-level zostanie ustawione na maksimum czyli 100. PIX(config-if)# security-level <wartość od 0 do 100> PIX(config-if)# ip address <adres IP> <maska sieci> PIX(config-if)# speed <auto > PIX(config-if)# duplex <auto full half> PIX(config-if)# no shutdown

27 ZADANIE.02 Sprawozdanie Wymienić oznaczenia interfejsów, które zostały skonfigurowane: Wymienić oznaczenia interfejsów, które zostały skonfigurowane: Wymienić oznaczenia interfejsów, które zostały skonfigurowane: 5. Zweryfikować konfiguracje i działanie interfejsów Zadanie Sprawdzić konfiguracje i działanie interfejsów urządzeń sieciowych. Materiał pomocniczy Sprawdzenie konfiguracji interfejsu

28 ZADANIE.02 Polecenie pokazujące konfigurację oraz stan wybranego interfejsu: hostname# show interface <rodzaj i numer interfejsu> Prawidłowe działanie interfejsu XYZ oznacza komunikat: XYZ is up, line protocol is up Sprawdzenie konfiguracji wszystkich interfejsów: hostname# show interface Sprawdzenie konfiguracji wybranego interfejsu (np. fastethernet 0): hostname# show interface fastethernet 0 Sprawdzenie konfiguracji wybranego podinterfejsu (np. fastethernet 0.1): hostname# show interface fastethernet 0.1 Program ping czyli wysłanie komunikatu Echo Request protokołu ICMP do wybranego interfejsu i oczekiwanie na odpowiedź Echo Reply. ping <adres IP testowanego interfejsu> Jeśli odpowiedź dotrze do nadawcy oznacza to, że interfejsy mogą się komunikować na poziomie warstwy 3 modelu OSI

29 ZADANIE.02 Sprawozdanie Wynik polecenia show interface <rodzaj i numer interfejsu>: Czy używane interfejsy są w stanie: is up, line protocol is up? Czy używane interfejsy mają skonfigurowane wszystkie potrzebne dane? Wynik polecenia ping <adres IP PIX a>: Wynik polecenia show interface <rodzaj i numer interfejsu>: Czy używane interfejsy są w stanie: is up, line protocol is up? Czy używane interfejsy mają skonfigurowane wszystkie potrzebne dane? Wynik polecenia ping <adres IP PIX a>: Wynik polecenia show interface <rodzaj i numer interfejsu>: Czy używane interfejsy są w stanie: is up, line protocol is up? Czy używane interfejsy mają skonfigurowane wszystkie potrzebne dane? Wynik polecenia ping <adres Switch a>: Wynik polecenia ping <adres Router a>:

30 ZADANIE.02 Wynik polecenia ping: o z hosta wewnątrz sieci inside adres interfejsu inside PIX a: o z hosta wewnątrz sieci dmz adres interfejsu dmz PIX a: o z hosta wewnątrz sieci outside adres interfejsu Routera: o z hosta wewnątrz sieci outside adres interfejsu outside PIX a: o z hosta spoza sieci inside adres interfejsu inside PIX a: o z hosta spoza sieci dmz adres interfejsu dmz PIX a: o z hosta spoza sieci outside adres interfejsu outside PIX a: 6. Zarządzanie konfiguracjami urządzeń Zadanie Zapisać bieżącą konfigurację każdego urządzenia (Switch, Router, PIX) w pamięci nieulotnej. Zapisać konfigurację każdego urządzenia na serwerze TFTP. Usunąć bieżącą i zapisaną w pamięci nieulotnej konfigurację każdego urządzenia. Przywrócić konfigurację każdego urządzenia z serwera TFTP

31 ZADANIE.02 Materiał pomocniczy Sprawdzenie konfiguracji bieżącej hostname# show running-config Sprawdzenie konfiguracji startowej (zapisanej w pamięci nieulotnej urządzenia) hostname# show startup-config Zapisywanie konfiguracji Zapisanie konfiguracji w pamięci nieulotnej urządzenia: hostname# copy running-config startup-config Zastąpienie konfiguracji bieżącej konfiguracją startową: hostname# copy startup-config running-config Zapisanie bieżącej konfiguracji na serwerze TFTP: hostname# copy running-config tftp Zapisanie konfiguracji znajdującej się w pamięci nieulotnej na serwerze TFTP: hostname# copy startup-config tftp Przywracanie bieżącej konfiguracji z serwera TFTP: hostname# copy tftp running-config Przywracanie konfiguracji startowej z serwera TFTP: hostname# copy tftp startup-config

32 ZADANIE.02 Usuwanie konfiguracji startowej i bieżącej Usuwanie konfiguracji startowej: Switch# delete flash:vlan.dat Switch# erase startup-config Usuwanie konfiguracji bieżącej: Switch# reload Usuwanie konfiguracji startowej: Router# erase startup-config Usuwanie konfiguracji bieżącej: Router# reload Usuwanie konfiguracji startowej: PIX(config)# write erase Usuwanie konfiguracji bieżącej: PIX# reload

33 ZADANIE.02 Sprawozdanie Czy konfiguracje w pamięci bieżącej i nieulotnej są takie same? Jakie polecenie umożliwia zapisanie konfiguracji bieżącej w pamięci nieulotnej? Co należy zrobić aby przywróć konfigurację z serwera TFTP? Czy przywracanie konfiguracji z serwera TFTP zakończyło się sukcesem? Czy konfiguracje w pamięci bieżącej i nieulotnej są takie same? Jakie polecenie umożliwia zapisanie konfiguracji bieżącej w pamięci nieulotnej? Co należy zrobić aby przywróć konfigurację z serwera TFTP? Czy przywracanie konfiguracji z serwera TFTP zakończyło się sukcesem? Czy konfiguracje w pamięci bieżącej i nieulotnej są takie same? Jakie polecenie umożliwia zapisanie konfiguracji bieżącej w pamięci nieulotnej? Co należy zrobić aby przywróć konfigurację z serwera TFTP? Czy przywracanie konfiguracji z serwera TFTP zakończyło się sukcesem?

34 ZADANIE.03 Imię Nazwisko ZADANIE.03 Routing dynamiczny i statyczny (OSPF, trasa domyślna) 1,5h 1. Zbudować sieć laboratoryjną 2. Czynności wstępne 3. Włączyć i skonfigurować routing dynamiczny 4. Wyłączyć routing dynamiczny 5. Skonfigurować routing statyczny 6. Czynności końcowe - 1 -

36 ZADANIE Czynności wstępne Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń. Przywrócić konfiguracje urządzeń z poprzedniego zadania (z serwera TFTP albo metodą Crtl+C, Crtl+V ). Sprawdzić za pomocą programu ping działanie interfejsów: o z hosta wewnątrz sieci inside adres interfejsu inside PIX a: o z hosta wewnątrz sieci dmz adres interfejsu dmz PIX a: o z hosta wewnątrz sieci outside adres interfejsu Routera: o z hosta wewnątrz sieci outside adres interfejsu outside PIX a: 3. Włączyć i skonfigurować routing dynamiczny Zadanie Skonfigurować routing dynamiczny zgodnie z tabelą: Urządzenie Parametry routingu dynamicznego Protokół routingu: OSPF Sieci włączone do routingu: wszystkie obsługiwane Czas między pakietami hello: 30 sekund Czas nieaktywności: 120 sekund Protokół: OSPF Sieci włączone do routingu: wszystkie obsługiwane Czas między pakietami hello: 30 sekund Czas nieaktywności: 120 sekund Materiał pomocniczy Konfiguracja protokołu routingu OSPF Konfiguracja wybranego protokołu routingu: Router(config)# router ospf <nr procesu routingu> - 3 -

37 ZADANIE.03 Dodanie sieci do procesu routingu: Router(config-router)# network <adres IP sieci> <maska blankietowa sieci> area <nr obszaru OSPF> Ustawienie czasu po jakim zostaną wysłane kolejne pakiety hello: Router(config-if)# ip ospf hello-interval <sekundy> Ustawienie czasu po jakim trasa zostanie uznana za nieaktywną: Router(config-if)# ip ospf dead-interval <sekundy> Konfiguracja wybranego protokołu routingu: PIX(config)# router ospf <nr procesu routing> Dodanie sieci do procesu routingu: PIX(config-router)# network <adres IP sieci> <maska sieci> area <nr obszaru OSPF> Ustawienie czasu po jakim zostaną wysłane kolejne pakiety hello: PIX(config-if)# ospf hello-interval <sekundy> Ustawienie czasu po jakim trasa zostanie uznana za nieaktywną: PIX(config-if)# ospf dead-interval <sekundy> Wyjaśnienie pojęć: nr procesu routingu identyfikator procesu routingu (router może obsługiwać wiele protokołów i procesów routingu), przyjmuje wartości z przedziału od 1 do adres IP sieci adres sieci włączonej do procesu routingu. maska sieci maska sieci włączonej do procesu routingu. maska blankietowa sieci w uproszczeniu to odwrotność maski sieci (jedynki zastępujemy zerami a zera jedynkami). nr obszaru OSPF- protokół OSPF może obsługiwać wiele obszarów w ramach jednego system autonomicznego, w sieci laboratoryjnej (przy tak małej liczbie urządzeń) wystarczy jeden obszar główny, który zawsze oznaczony jest zerem (0)

38 ZADANIE.03 Sprawdzenie tablic routingu Router# show ip route PIX# show route Weryfikacja procesu routingu Router# show ip protocol Router# show ip ospf Router# show ip ospf interface Router# show ip ospf neighbor detail Router# show ip ospf database PIX# show ospf PIX# show ospf interface PIX# show ospf neighbor detail PIX# show ospf database - 5 -

39 ZADANIE.03 Sprawozdanie Czy w tablicy routingu Routera znajdują się wpisy pochodzące z protokołu OSPF? Jeśli tak wpisać je poniżej: Czy w tablicy routingu PIX a znajdują się wpisy pochodzące z protokołu OSPF? Jeśli tak wpisać je poniżej: Sprawdzić za pomocą programu ping działanie interfejsów: o z hosta wewnątrz sieci inside adres interfejsu inside PIX a: o z hosta wewnątrz sieci dmz adres interfejsu dmz PIX a: o z hosta wewnątrz sieci outside adres interfejsu Routera: o z hosta wewnątrz sieci outside adres interfejsu outside PIX a: Zainstalować w strefie dmz i outside po jednym serwerze FTP (np. TYPSoft FTP Server). Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do dowolnego folderu na dysku. Przeprowadzić testy: o Czy można połączyć się ze strefy inside do serwera FTP w strefie dmz? Dlaczego? o Czy można połączyć się ze strefy inside do serwera FTP w strefie outside? Dlaczego? o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? Dlaczego? o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? Dlaczego? - 6 -

40 ZADANIE Wyłączyć routing dynamiczny Zadanie Wyłączyć routing dynamiczny: Urządzenie Parametry routingu Routing statyczny: brak Routing dynamiczny: brak Routing statyczny: brak Routing dynamiczny: brak Materiał pomocniczy Wyłączenie protokołu routingu Router(config)# no router ospf <nr procesu routingu> PIX(config)# no router ospf <nr procesu routingu> - 7 -

41 ZADANIE.03 Sprawozdanie Sprawdzić tablice routingu na urządzeniach (Router i PIX). Jakie wpisy znajdują się w tablicy routingu Routera?.. Jakie wpisy znajdują się w tablicy routingu PIX a?.. Przeprowadzić testy: o Czy można połączyć się ze strefy inside do serwera FTP w strefie dmz? Dlaczego? o Czy można połączyć się ze strefy inside do serwera FTP w strefie outside? Dlaczego? o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? Dlaczego? o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? Dlaczego? 5. Skonfigurować routing statyczny Zadanie Skonfigurować routing statyczny zgodnie z tabelą: Urządzenie Parametry routingu statycznego Routing statyczny: brak Routing statyczny: przekierowanie całego ruchu z nieznanymi dla PIX a sieciami docelowymi do routera (trasa domyślna) - 8 -

42 ZADANIE.03 Materiał pomocniczy Włączenie routingu statycznego (trasa domyślna) PIX(config)# route <nazwa interfejsu> <adres IP sieci docelowej> <maska sieci docelowej> <adres IP Routera> 1 Wyjaśnienie pojęć: nazwa interfejsu nazwa interfejsu PIX a, na który będą przesyłane pakiety IP z określonym adresem docelowym. adres IP sieci docelowej adres IP sieci docelowej (jeśli ma być to obsługa każdej nieznanej sieci (trasa domyślna) należy podać adres IP z samymi bitami zero czyli ). maska sieci docelowej maska sieci docelowej (jeśli ma być to obsługa każdej nieznanej sieci (trasa domyślna) należy podać maskę sieci z samymi bitami zero czyli ). adres IP Routera adres IP Routera, do którego będą przesyłane pakiety IP. Sprawozdanie Dodać na PIX ie routing statyczny, wysyłający ruch adresowany do nieznanych sieci do Router a. Przeprowadzić testy: o Czy można połączyć się ze strefy inside do serwera FTP w strefie dmz? Dlaczego? o Czy można połączyć się ze strefy inside do serwera FTP w strefie outside? Dlaczego? o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? Dlaczego? o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? Dlaczego? - 9 -

43 ZADANIE Czynności końcowe Zapisać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje na pendrive

44 ZADANIE.04 Imię Nazwisko ZADANIE.04 Translacja adresów (NAT, PAT) 1,5h 1. Zbudować sieć laboratoryjną 2. Czynności wstępne 3. Włączyć i skonfigurować translację adresów 4. Czynności końcowe - 1 -

46 ZADANIE Czynności wstępne Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń. Przywrócić konfiguracje urządzeń z poprzedniego zadania (z serwera TFTP albo metodą Crtl+C, Crtl+V ). Sprawdzić za pomocą programu ping działanie interfejsów: o z hosta wewnątrz sieci inside adres interfejsu inside PIX a: o z hosta wewnątrz sieci dmz adres interfejsu dmz PIX a: o z hosta wewnątrz sieci outside adres interfejsu Routera: o z hosta wewnątrz sieci outside adres interfejsu outside PIX a: Zainstalować w strefie dmz i outside po jednym serwerze FTP (np. TYPSoft FTP Server). Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do dowolnego folderu na dysku. Przeprowadzić testy: o Czy można połączyć się ze strefy inside do serwera FTP w strefie dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego? o Czy można połączyć się ze strefy inside do serwera FTP w strefie outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego? o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego? o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego? - 3 -

47 ZADANIE Włączyć i skonfigurować translację adresów Zadanie Skonfigurować translację adresów na PIX ie zgodnie z tabelą: Urządzenie Parametry translacji adresów Z sieci Do sieci Rodzaj inside outside PAT inside dmz NAT dmz outside PAT Materiał pomocniczy Włączenie (wymuszenie) translacji adresów: PIX(config)# nat-control - 4 -

48 ZADANIE.04 Polecenie nat umożliwia określenie sieci a w niej adresu lub puli adresów, które będą podlegać translacji: PIX(config)# nat (<nazwa interfejsu źródłowego>) <NAT ID> <adres sieci> <maska sieci 1> Polecenie global określa na jaką pulę adresów będzie wykonana translacja. Wykonanie translacji na grupę adresów (NAT): PIX(config)# global (<nazwa interfejsu docelowego>) <NAT ID> <zakres adresów IP> netmask <maska sieci 2> Wykonanie translacji na jeden adres (PAT): PIX(config)# global (<nazwa interfejsu docelowego>) <NAT ID> <adres IP> netmask <maska sieci 2> Wyjaśnienie pojęć: Polecenie nat: o nazwa interfejsu źródłowego nazwa interfejsu obsługującego sieć, w której określony adres lub pula adresów będzie podlegać translacji. o NAT ID identyfikator NAT, służy do powiązania ze sobą poleceń nat i global (czyli z czego na co będzie wykonywana translacja). o adres sieci adres sieci, która będzie podlegać translacji (jeśli ma to być cała sieć należy podać adres IP z samymi bitami zero czyli ). o maska sieci 1 maska sieci, która będzie podlegać translacji (jeśli ma to być cała sieć należy podać maskę sieci z samymi bitami zero czyli ). Polecenie global: o nazwa interfejsu docelowego nazwa interfejsu obsługującego sieć, na której określony adres lub pulę adresów będzie wykonana translacja. o NAT ID identyfikator NAT, służy do powiązania ze sobą poleceń nat i global (czyli z czego na co będzie wykonywana translacja). o zakres adresów IP pula adresów, na którą będzie mogła być wykonana translacja (należy podać adres początkowy a po myślniku adres końcowy puli). o adres IP adres IP, na który będzie mogła być wykonana translacja. o maska sieci 2 maska sieci, na którą będzie mogła być wykonana translacja. Weryfikacja działania translacji : PIX# show nat - 5 -

49 ZADANIE.04 Sprawozdanie Przeprowadzić testy: o Czy można połączyć się ze strefy inside do serwera FTP w strefie dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego? o Czy można połączyć się ze strefy inside do serwera FTP w strefie outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego? o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego? o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego? 4. Czynności końcowe Zapisać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje na pendrive

50 ZADANIE.05 Imię Nazwisko ZADANIE.05 Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing) 2,5h 1. Zbudować sieć laboratoryjną 2. Czynności wstępne 3. Skonfigurować sieci VLAN 4. Skonfigurować łącze trunk i routing pomiędzy sieciami VLAN 5. Skonfigurować translację adresów 6. Czynności końcowe - 1 -

51 ZADANIE Zbudować sieć laboratoryjną Zadanie Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią. Topologia sieci laboratoryjnej / 28 OUTSIDE dmz security-level 50 outside security-level / 25 subinterfaces, trunk / / 16 VLAN Admin sec.lev / 16 VLAN Dyrekcja sec.lev / 16 VLAN Pracownicy sec.lev

52 ZADANIE Czynności wstępne Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń. Przywrócić konfiguracje urządzeń z poprzedniego zadania (z serwera TFTP albo metodą Crtl+C, Crtl+V ). Sprawdzić za pomocą programu ping działanie interfejsów: o z hosta wewnątrz sieci inside adres interfejsu inside PIX a: o z hosta wewnątrz sieci dmz adres interfejsu dmz PIX a: o z hosta wewnątrz sieci outside adres interfejsu Routera: o z hosta wewnątrz sieci outside adres interfejsu outside PIX a: Zainstalować w strefie dmz i outside po jednym serwerze FTP (np. TYPSoft FTP Server). Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do dowolnego folderu na dysku. Przeprowadzić testy: o Czy można połączyć się ze strefy inside do serwera FTP w strefie dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego? o Czy można połączyć się ze strefy inside do serwera FTP w strefie outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego? o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego? o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego? - 3 -

53 ZADANIE Skonfigurować sieci VLAN (ang. Virtual Local Area Network) Zadanie Skonfigurować sieci VLAN na switch u zgodnie z tabelą: Urządzenie Numer VLAN Nazwa VLAN Porty przełącznika należące do VLAN Adres IP 1 - Fa0/1, Gi0/1, Gi0/2-2 Admin Fa0/2 Fa0/4 Dowolny, zgodny z topologią i adresacją sieci. 10 Dyrekcja Fa0/5 Fa0/9-20 Pracownicy Fa0/10 Fa0/24 - Materiał pomocniczy Segmentacja sieci przy użyciu VLAN - 4 -

54 ZADANIE.05 Konfiguracja sieci VLAN Tworzenie sieci VLAN: Switch# vlan database Switch(vlan)# vlan <VLAN_ID> name <nazwa_sieci_vlan> Usuwanie sieci VLAN: Switch# vlan database Switch(vlan)# no vlan <VLAN_ID> Przypisanie portu do sieci VLAN: Switch(config)# interface fastethernet <nr_portu> Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan <VLAN_ID> Usunięcie portu z sieci VLAN: Switch(config)# interface fastethernet <nr_portu> Switch(config-if)# no switchport access vlan <VLAN_ID> Weryfikacja sieci VLAN Informacja o wszystkich sieciach VLAN: Switch# show vlan Informacja o wybranej sieci VLAN: Switch# show vlan id <VLAN_ID> Informacja o portach switch a: Switch# show interface - 5 -

55 ZADANIE.05 Informacja o trybie pracy wybranego portu switch a: Switch# show interface fastethernet <nr_portu> switchport Wyjaśnienie pojęć: VLAN_ID identyfikator sieci VLAN, najważniejsza liczba określająca sieć VLAN. nazwa_sieci_vlan dowolna nazwa opisująca sieć VLAN. nr_portu numer portu na switch u. Sprawozdanie Podłączyć jeden host do sieci VLAN Dyrekcja (adres IP z puli sieci inside). Podłączyć drugi host do sieci VLAN Pracownicy (adres IP z puli sieci inside). Zainstalować w sieci VLAN Pracownicy serwer FTP (np. TYPSoft FTP Server). Utworzyć na tym serwerze FTP przynajmniej jedno konto z uprawnieniami do dowolnego folderu na dysku. Podłączyć PIX do portu Switch a należącego do sieci VLAN Dyrekcja. Przeprowadzić testy: o Czy host z sieci VLAN Dyrekcja ping uje interfejs inside PIX a? o Czy host z sieci VLAN Pracownicy ping uje interfejs inside PIX a? o Czy z hosta z sieci VLAN Dyrekcja może się połączyć z serwerem FTP w sieci dmz? Dlaczego? o Czy z hosta z sieci VLAN Dyrekcja może się połączyć z serwerem FTP w sieci outside? Dlaczego? o Czy z hosta z sieci VLAN Dyrekcja może się połączyć z serwerem FTP w sieci VLAN Pracownicy? Dlaczego? o Czy z hosta z sieci VLAN Pracownicy może się połączyć z serwerem FTP w sieci dmz? Dlaczego? o Czy z hosta z sieci VLAN Pracownicy może się połączyć z serwerem FTP w sieci outside? Dlaczego? - 6 -

56 ZADANIE Skonfigurować łącze trunk i routing pomiędzy sieciami VLAN Zadanie Skonfigurować łącze trunk na switch u zgodnie z tabelą: Urządzenie Port trunk Protokół enkapsulacji Fa0/1 albo Gi0/ q Skonfigurować podinterfejsy na PIX tak aby możliwy był routing pomiędzy sieciami VLAN: Urządzenie VLAN Admin VLAN Dyrekcja VLAN Pracownicy Opis: dowolny VLAN ID: 2 Nazwa podinterfejsu: inside_admin Poziom bezpieczeństwa: 95 Adres IP: zgodnie z topologią sieci Maska sieci: zgodnie z topologią sieci Opis: dowolny VLAN ID: 10 Nazwa podinterfejsu: inside_dyrekcja Poziom bezpieczeństwa: 85 Adres IP: zgodnie z topologią sieci Maska sieci: zgodnie z topologią sieci Opis: dowolny VLAN ID: 20 Nazwa podinterfejsu: inside_pracownicy Poziom bezpieczeństwa: 80 Adres IP: zgodnie z topologią sieci Maska sieci: zgodnie z topologią sieci - 7 -

57 ZADANIE.05 Materiał pomocniczy Idea działania łącza trunk Konfiguracja łącza trunk (do połączeń Switch-Switch, Switch-Router, Switch-PIX) Switch(config)# interface fastethernet <nr_portu> Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk encapsulation <isl dot1q> Wyjaśnienie pojęć: nr_portu numer portu na switch u

58 ZADANIE.05 Idea routingu pomiędzy sieciami VLAN Konfiguracja routingu pomiędzy sieciami VLAN Router(config)# interface fastethernet <nr_podinterfejsu> Router(config-subif)# descritption <opis_podinterfejsu> Router(config-subif)# encapsulation <isl dot1q> <VLAN_ID> Router(config-subif)# ip address <adres_ip> <maska_sieci> PIX(config)# interface ethernet <nr_podinterfejsu> PIX (config-if)# descritption <opis_podinterfejsu> PIX (config-if)# vlan <VLAN_ID> PIX (config-if)# nameif <nazwa_podinterfejsu> PIX (config-if)# security-level <wartość> PIX (config-if)# ip address <adres_ip> <maska_sieci> - 9 -

59 ZADANIE.05 Wyjaśnienie pojęć: VLAN_ID identyfikator sieci VLAN, najważniejsza liczba określająca sieć VLAN. nr_podinterfejsu numer podinterfejsu, np. podinterfejs 1 na interfejsie 0/0 zapisuje się jako 0/0.1 opis_podinterfejsu dowolny opis podinterfejsu. nazwa_podinterfejsu nazwa za pomocą, której PIX będzie identyfikował podinterfejs. wartość poziom bezpieczeństwa dla podinterfejsu (liczba całkowita z zakresu <0, 100>). adres_ip adres IP z sieci obsługiwanej przez podinterfejs. maska_sieci maska sieci obsługiwanej przez podinterfejs. Sprawozdanie Przeprowadzić testy: o Czy host z sieci VLAN Dyrekcja ping uje podinterfejs inside_dyrekcja PIX a? o Czy host z sieci VLAN Pracownicy ping uje podinterfejs inside_pracownicy PIX a? o Czy z hosta z sieci VLAN Dyrekcja może się połączyć z serwerem FTP w sieci dmz? Dlaczego? o Czy z hosta z sieci VLAN Dyrekcja może się połączyć z serwerem FTP w sieci outside? Dlaczego? o Czy z hosta z sieci VLAN Dyrekcja może się połączyć z serwerem FTP w sieci VLAN Pracownicy? Dlaczego? o Czy z hosta z sieci VLAN Pracownicy może się połączyć z serwerem FTP w sieci dmz? Dlaczego? o Czy z hosta z sieci VLAN Pracownicy może się połączyć z serwerem FTP w sieci outside? Dlaczego?

60 ZADANIE Skonfigurować translację adresów Zadanie Skonfigurować translację adresów na PIX ie zgodnie z tabelą: Urządzenie Parametry translacji adresów Z sieci Do sieci Rodzaj inside_pracownicy dmz NAT albo PAT inside_pracownicy outside NAT albo PAT inside_dyrekcja dmz NAT albo PAT inside_dyrekcja outside NAT albo PAT inside_dyrekcja inside_pracownicy NAT albo PAT Sprawozdanie Przeprowadzić testy: o Czy z hosta z sieci VLAN Dyrekcja może się połączyć z serwerem FTP w sieci dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego? o Czy z hosta z sieci VLAN Dyrekcja może się połączyć z serwerem FTP w sieci outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego? o Czy z hosta z sieci VLAN Dyrekcja może się połączyć z serwerem FTP w sieci VLAN Pracownicy? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego? o Czy z hosta z sieci VLAN Pracownicy może się połączyć z serwerem FTP w sieci dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?

61 ZADANIE.05 o Czy z hosta z sieci VLAN Pracownicy może się połączyć z serwerem FTP w sieci outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego? o Czy z hosta z sieci VLAN Admin może się połączyć z serwerem FTP w sieci dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego? Zweryfikować także: o Czy z hosta z sieci dmz może się połączyć z serwerem FTP w sieci outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego? o Czy z hosta z sieci outside może się połączyć z serwerem FTP w sieci dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego? 6. Czynności końcowe Zapisać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje na pendrive

62 ZADANIE.06 Imię Nazwisko ZADANIE.06 Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny) 2,5h 1. Zbudować sieć laboratoryjną 2. Czynności wstępne 3. Zarządzanie konfiguracją urządzeń (tryb tekstowy: konsola) 4. Zarządzanie konfiguracją urządzeń (tryb tekstowy: TELNET) 5. Zarządzanie konfiguracją urządzeń (tryb tekstowy: SSH) 6. Zarządzanie konfiguracją urządzeń (tryb graficzny: HTTP Manager, SDM, ASDM) 7. Czynności końcowe - 1 -

64 ZADANIE Czynności wstępne Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń. Przywrócić konfiguracje urządzeń z poprzedniego zadania (z serwera TFTP albo metodą Crtl+C, Crtl+V ). Sprawdzić za pomocą programu ping działanie interfejsów: o z hosta w sieci inside_admin adres podinterfejsu inside_admin PIX a: o z hosta w sieci inside_dyrekcja adres podinterfejsu inside_dyrekcja PIX a: o z hosta w sieci inside_pracownicy adres podinterfejsu inside_pracownicy PIX a: o z hosta wewnątrz sieci dmz adres interfejsu dmz PIX a: o z hosta wewnątrz sieci outside adres interfejsu Routera: o z hosta wewnątrz sieci outside adres interfejsu outside PIX a: Zainstalować w strefie dmz, outside i inside_pracownicy po jednym serwerze FTP (np. TYPSoft FTP Server). Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do dowolnego folderu na dysku. Przeprowadzić testy: o Czy można połączyć się z sieci inside_admin do serwera FTP w dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_pracownicy do serwera FTP w outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_dyrekcja do serwera FTP w outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?

65 ZADANIE Zarządzanie konfiguracją urządzeń (tryb tekstowy: konsola) Zadanie Skonfigurować porty konsolowe urządzeń zgodnie z tabelą (dotyczy wyłącznie hasła): Urządzenie Konfiguracja portu Użytkownik i hasło Bits per second: 9600 Data bits: 8 Parity: None Stop bits: 1 Flow control: None Bits per second: 9600 Data bits: 8 Parity: None Stop bits: 1 Flow control: None Bits per second: 9600 Data bits: 8 Parity: None Stop bits: 1 Flow control: None dowolne (hasło w konfiguracji konsoli) dowolne (lokalna baza użytkowników) dowolne (lokalna baza użytkowników) Materiał pomocniczy Konfigurowanie hasła do portu konsoli Przejście do konfiguracji portu konsolowego: hostname(config)# line console <nr portu konsoli> Uwaga: Ponieważ istnieje tylko jeden port konsolowy, nr portu konsoli =

66 ZADANIE.06 Wymuszenie podania hasła przy dostępie do konsoli, a także wybór skąd będą pobierane dane do uwierzytelnienia (dwie alternatywne wersje): hostname(config-line)# login Hasło będzie zdefiniowane w konfiguracji konsoli za pomocą polecenia: hostname(config-line)# password <hasło> hostname(config-line)# login local Nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń: hostname(config)# username <nazwa> password <hasło> Wymuszenie podania hasła przy dostępie do konsoli, a także wybór skąd będą pobierane dane do uwierzytelnienia: PIX(config)# aaa authentication serial console <LOCAL nazwa_serwera> Wyjaśnienie pojęć: LOCAL - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń: PIX(config)# username <nazwa> password <hasło> nazwa_serwera - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS albo RADIUS (będzie w kolejnych zadaniach). Sprawozdanie Połączyć się za pomocą konsoli ze Switch em. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Czy można przejść do trybu uprzywilejowanego #? - 5 -

67 ZADANIE.06 Połączyć się za pomocą konsoli z Router em. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Czy można przejść do trybu uprzywilejowanego #? Połączyć się za pomocą konsoli z PIX em. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Czy można przejść do trybu uprzywilejowanego #? 4. Zarządzanie konfiguracją urządzeń (tryb tekstowy: TELNET) Zadanie Skonfigurować dostęp do urządzeń za pomocą protokołu TELNET: Urządzenie Opcje Użytkownik i hasło Session timeout: 60 sekund dowolne (hasło w konfiguracji linii vty) Session timeout: 60 sekund Dowolne (lokalna baza użytkowników) Session timeout: 60 sekund Dostęp: wyłącznie z jednego hosta w sieci VLAN Admin dowolne (lokalna baza użytkowników) Materiał pomocniczy Konfigurowanie dostępu poprzez TELNET - 6 -

68 ZADANIE.06 Przejście do konfiguracji zdalnego dostępu: hostname(config)# line vty <nr_linii_vty_1> <nr_linii_vty_2> Wybór protokołu zdalnego dostępu: hostname(config-line)# transport input telnet Konfiguracja hasła przy zdalnym dostępie, a także wybór skąd będą pobierane dane do uwierzytelnienia (dwie alternatywne wersje): hostname(config-line)# login Hasło będzie zdefiniowane w konfiguracji linii vty za pomocą polecenia: hostname(config-line)# password <hasło> hostname(config-line)# login local Nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń: hostname(config)# username <nazwa> password <hasło> Czas po jakim sesja TELNET wygaśnie: hostname(config-line)# exec-timeout <czas> <czas> Wyjaśnienie pojęć: nr_linii_vty_1 początkowy numer linii vty (zdalnego dostępu), która będzie dostępna i chroniona hasłem. nr_linii_vty_2 końcowy numer linii vty (zdalnego dostępu), która będzie dostępna i chroniona hasłem. Uwaga: liczba dostępnych linii zależy od urządzenia i wersji IOS (znakiem zapytania w poleceniu można sprawdzić liczbę dostępnych linii). Włączenie dostępu poprzez TELNET dla konkretnego hosta albo sieci: - 7 -

69 ZADANIE.06 PIX(config)# telnet <adres_ip> <maska_sieci> <nazwa_sieci> Wybór miejsca skąd będą pobierane dane do uwierzytelnienia sesji TELNET: PIX(config)# aaa authentication telnet console <LOCAL nazwa_serwera> Czas po jakim sesja TELNET wygaśnie: PIX(config)# telnet timeout <czas> Wyjaśnienie pojęć: adres_ip adres hosta albo sieci, z której będzie możliwie połączenie z PIX em. maska_sieci maska hosta ( ) albo sieci, z której będzie możliwie połączenie z PIX em. nazwa_sieci - nazwa sieci, z której będzie możliwie połączenie z PIX em. nazwa_serwera - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS albo RADIUS. LOCAL - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń PIX(config)# username <nazwa> password <hasło> Sprawozdanie Połączyć się za pomocą klienta TELNET ze Switch em. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Czy można przejść do trybu uprzywilejowanego #? Połączyć się za pomocą klienta TELNET z Router em. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Czy można przejść do trybu uprzywilejowanego #? Połączyć się za pomocą klienta TELNET z PIX em. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Czy można przejść do trybu uprzywilejowanego #? - 8 -

70 ZADANIE Zarządzanie konfiguracją urządzeń (tryb tekstowy: SSH) Zadanie Wyłączyć / zabronić dostępu poprzez TELNET na Routerze. Wyłączyć / zabronić dostępu poprzez TELNET na PIX ie. Skonfigurować dostęp do urządzeń za pomocą protokołu SSH zgodnie z tabelą: Urządzenie Opcje Użytkownik i hasło Version: 2 Authentication timeout: 5sekund Session timeout: 60 sekund Retries: 0 Version: 1 Session timeout: 60 sekund Access: wyłącznie z jednego hosta w sieci VLAN Admin dowolne (lokalna baza użytkowników) dowolne (lokalna baza użytkowników) Materiał pomocniczy Konfigurowanie dostępu poprzez SSH Do wygenerowania klucza algorytmu RSA konieczne jest skonfigurowanie nazwy urządzenia oraz nazwy domeny, w której to urządzenie pracuje: Router(config)# hostname <nazwa_urzadzenia> Router(config)# ip domain-name <nazwa_domeny> Generowanie klucza RSA: Router(config)# crypto key generate rsa - 9 -

71 ZADANIE.06 Wybór wersji SSH: Router(config)# ip ssh version <nr_wersji> Konfiguracja czasu wygaśnięcia sesji uwierzytelniania oraz liczby prób logowania: Router(config)# ip ssh time-out <czas> Router(config)# ip ssh authentication-retries <liczba_prób> Przejście do konfiguracji zdalnego dostępu: Router(config)# line vty <nr_linii_vty_1> <nr_linii_vty_2> Wybór protokołu zdalnego dostępu: Router(config-line)# transport input ssh Wybór miejsca skąd będą pobierane dane do uwierzytelnienia: Router(config-line)# login <local tacacs> Czas po jakim sesja SSH wygaśnie: Router(config-line)# exec-timeout <czas> <czas> Wyjaśnienie pojęć: local - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń Router(config)# username <nazwa> password <hasło> tacacs - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS. Weryfikacja konfiguracji Router# show ssh Router# show ip ssh Analiza problemów Router# debug ip ssh

72 ZADANIE.06 Generowanie klucza RSA: PIX(config)# crypto key generate rsa Konfiguracja danych hosta albo sieci, z której będzie możliwe połączenie z PIX em: PIX(config)# ssh <adres_ip> <maska_sieci> <nazwa_sieci> Czas po jakim sesja SSH wygaśnie: PIX(config)# ssh timeout <czas> Wybór wersji SSH: PIX(config)# ssh version <nr_wersji> Wybór miejsca skąd będą pobierane dane do uwierzytelnienia: PIX(config)# aaa authentication ssh console <LOCAL nazwa_serwera> Wyjaśnienie pojęć: adres_ip adres hosta albo sieci, z której będzie możliwie połączenie z PIX em. maska_sieci maska hosta ( ) albo sieci, z której będzie możliwie połączenie z PIX em. nazwa_sieci - nazwa sieci, z której będzie możliwie połączenie z PIX em. nazwa_serwera - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS albo RADIUS. LOCAL - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń PIX(config)# username <nazwa> password <hasło>

73 ZADANIE.06 Sprawozdanie Połączyć się za pomocą klienta SSH z Router em. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Czy można przejść do trybu uprzywilejowanego #? Połączyć się za pomocą klienta SSH z PIX em. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Czy można przejść do trybu uprzywilejowanego #? 6. Zarządzanie konfiguracją urządzeń (tryb graficzny: HTTP Manager, SDM, ASDM) Zadanie Włączyć możliwość konfiguracji urządzeń poprzez tryb graficzny (przeglądarkę internetową): Urządzenie Parametry konfiguracyjne Serwer: HTTP Uwierzytelnianie: hasło do trybu uprzywilejowanego Serwer: HTTPS Uwierzytelnianie: lokalna baza użytkowników Serwer: HTTPS Uwierzytelnianie: lokalna baza użytkowników

74 ZADANIE.06 Materiał pomocniczy HTTP Device Manager Włączenie HTTP Device Manager na switch u: Switch(config)# ip http server Konfiguracja hasła do trybu uprzywilejowanego na najwyższy poziom dostępu (standardowa konfiguracja hasła bez słowa level także powinna być na poziomie 15): Switch(config)# enable secret level 15 <hasło> Wybór metody uwierzytelniania przy połączeniu z HTTP Device Manager: Switch(config)# ip http authentication <local enable> Wyjaśnienie pojęć: local - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą poleceń Switch(config)# username <nazwa> password <hasło> enable do uwierzytelnienia będzie wykorzystane hasło do trybu uprzywilejowanego

75 ZADANIE.06 Połączenie z HTTP Manager (podanie protokołu i adresu IP w przeglądarce internetowej): SDM (Security Device Manager) Wymagania SDM Router: Urządzenie Cisco 2610XM, 2611XM, 2620XM, 2621XM, 2650XM, 2651XM, 2691 Cisco 2801, 2811, 2821,2851 Wersja IOS 12.2(11)T6 or later 12.3(2)T or later 12.3(1)M or later 12.3(4)XD 12.2(15)ZJ3 12.3(8)T4 or later

76 ZADANIE.06 Stacja zarządzająca: o Procesor Pentium III o Windows XP, 2003 Server, 2000 Professional (Service Pack 4), ME, 98 (second edition), NT 4.0 Workstation (Service Pack 4) o Internet Explorer 5.5 lub Netscape version 7.1 o Sun Java Runtime Environment (JRE) 1.4.2_05 lub Java Virtual Machine (JVM) Konfiguracja SDM Router# configure terminal Włączenie serwera HTTP na Routerze: Router(config)# ip http server Włączenie serwera HTTPS na Routerze: Router(config)# ip http secure-server Wybór metody uwierzytelniania przy połączeniu z SDM: Router(config)# ip http authentication <local enable> Jeśli wybrano bazę lokalną musi być w niej zdefiniowany użytkownik o najwyższym poziomie uprzywilejowania (15): Router(config)# username <nazwa_użytkownika> privilege 15 password <hasło> Przejście do konfiguracji zdalnego dostępu: Router(config)# line vty <nr_linii_vty_1> <nr_linii_vty_2> Ustawienie zdalnego dostępu na najwyższym poziom uprzywilejowania (15): Router(config-line)# privilege level 15 Wybór miejsca skąd będą pobierane dane do uwierzytelnienia: Router(config-line)# login <local tacacs>

77 ZADANIE.06 Wybór protokołu zdalnego dostępu: Router(config-line)# transport input ssh Instalacja SDM

78 ZADANIE.06 Weryfikacja SDM Sprawdzenie czy w pamięci flash zostały zapisane pliki z SDM: Router# show flash: System flash directory: File Length Name/status c831-k9o3y6-mz zh1.bin sdm.shtml sdmconfig-83x.cfg sdm.tar sdm.shtml.hide home.html home.tar home.html.hide [ bytes used, available, total] 24576K bytes of processor board System flash (Read/Write) Połączenie z SDM Połączenie z SDM (podanie protokołu i adresu IP w przeglądarce internetowej):

79 ZADANIE.06 ASDM (Adaptive Security Device Manager) Zasada działania ASDM Wymagania ASDM Przeglądarka obsługująca SSL. Wyłączone blokowanie wyskakujących okienek

80 ZADANIE.06 Konfiguracja ASDM Włączenie serwera HTTPS (z ASDM): PIX(config)# http server enable IP hosta, maska sieci i nazwa interfejsu, z którego będzie możliwy dostęp do ASDM: PIX(config)# http <adres_ip> <maska_sieci> <nazwa_interfejsu> Nazwa PIX a i nazwa domeny, w której się znajduje: PIX(config)# hostname <nazwa_urzadzenia> PIX(config)# domain-name <nazwa_domeny> Wybór miejsca, z którego będą pobierane dane do uwierzytelniania: PIX(config)# aaa authentication http console <LOCAL nazwa_serwera> Weryfikacja ASDM PIX# show flash: asa723-k8.bin - IOS asdm-523.bin - ASDM

81 ZADANIE.06 Uruchomienie ASDM Sprawozdanie Połączyć się za pomocą HTTP Manager a ze Switch em. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Jaki typ przełącznika jest konfigurowany? Połączyć się za pomocą SDM z Router em. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Jaka jest całkowita pojemność pamięci flash? Połączyć się za pomocą ASDM z PIX em. o Czy połączenie powiodło się? o Czy uwierzytelnienie powiodło się? o Ile czasu urządzenie już pracuje?

82 ZADANIE Czynności końcowe Zapisać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje na pendrive

83 ZADANIE.07 Imię Nazwisko ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h 1. Zbudować sieć laboratoryjną 2. Czynności wstępne 3. Filtrowanie pakietów 4. Ustawienie portów przełącznika (tryb graficzny) 5. DNAT (tryb tekstowy i graficzny) 6. Bezpieczeństwo portów 7. Czynności końcowe - 1 -

85 ZADANIE Czynności wstępne Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń. Przywrócić konfiguracje urządzeń z poprzedniego zadania. Sprawdzić za pomocą programu ping działanie interfejsów: o z hosta w sieci inside_admin adres podinterfejsu inside_admin PIX a: o z hosta w sieci inside_dyrekcja adres podinterfejsu inside_dyrekcja PIX a: o z hosta w sieci inside_pracownicy adres podinterfejsu inside_pracownicy PIX a: o z hosta wewnątrz sieci dmz adres interfejsu dmz PIX a: o z hosta wewnątrz sieci outside adres interfejsu Routera: o z hosta wewnątrz sieci outside adres interfejsu outside PIX a: Zainstalować w strefie dmz, outside i inside_pracownicy po jednym serwerze FTP i WWW (np. TYPSoft FTP Server oraz Apache). Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do dowolnego folderu na dysku. Utworzyć na każdym serwerze WWW prostą stronę z informacją o położeniu serwera. Przeprowadzić testy: o Czy można połączyć się z sieci inside_admin do serwera FTP w dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_pracownicy do serwera WWW w outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_pracownicy do serwera WWW w dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_dyrekcja do serwera WWW w outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_dyrekcja do serwera FTP w inside_pracownicy? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? Jeśli nie wyjaśnić dlaczego?

86 ZADANIE Filtrowanie pakietów (Listy kontroli dostępu (ang. Access Control List)) Zadanie Skonfigurować filtrację pakietów zgodnie z poniższą tabelą: Urządzenie Zasady ruchu o z sieci OUTSIDE ma być zabroniona możliwość ping owania sieci łączącej PIX z Router em o cały pozostały ruch jest dozwolony o z sieci inside_pracownicy ma być możliwy dostęp do dowolnego serwera FTP w sieci dmz o z sieci inside_pracownicy ma być możliwy dostęp do dowolnego serwera WWW w dowolnej sieci o pozostałe połączenia z sieci inside_pracownicy mają być zabronione Materiał pomocniczy Idea działania list dostępu - 4 -

87 ZADANIE.07 Definiowanie listy dostępu Definicja warunku (dopasowania) rozszerzonej listy dostępu: PIX(config)# access-list <nr_listy> extended <permit deny> <protokół> <adres_źródła> <maska_źródła> <adres_celu> <maska_celu> eq <nr_portu> Definicja warunku (dopasowania) rozszerzonej listy dostępu: Router(config)# access-list <nr_listy> <permit deny> <protokół> <adres_źródła> <maska_źródła> <adres_celu> <maska_celu> eq <nr_portu> nr_listy numer listy dostępu; dla list rozszerzonych od 100 do 199. permit lista będzie zezwalała na zdefiniowany ruch. deny lista będzie zabraniała zdefiniowanego ruchu. protokół nazwa protokołu jakiego będzie dotyczyła lista (jeśli nie korzysta z numerów portów należy podać ip, jeśli zaś lista będzie korzystać z portów należy podać tcp albo udp, jeśli zaś lista będzie dotyczyć ICMP należy podać icmp). adres_źródła adres IP hosta albo sieci źródła pakietu. maska_źródła maska hosta albo sieci źródła pakietu (PIX maska zwykła, Router maska blankietowa). adres_celu adres IP hosta albo sieci docelowej pakietu. maska_celu maska hosta albo sieci docelowej pakietu (PIX maska zwykła, Router maska blankietowa). nr_portu numer portu, którego będzie dotyczyła lista

88 ZADANIE.07 Uwagi: o jeśli chcemy określić każdy, dowolny adres i maskę sieci można zastąpić je słowem any (any = ); o jeśli chcemy do listy dostępu dodać wiele warunków (dopasowań) należy w następny poleceniu access-list podać ten sam numer listy; o kolejność kolejnych warunków (dopasowań) jest ważna, zgodnie z nią będą sprawdzane kolejne dopasowania. Kasowanie listy dostępu hostname(config)# no access-list <nr_listy> Uwaga: Na PIX kasuje się konkretny wpis a nie całą access-list ę. Dodanie listy dostępu do interfejsu PIX(config)# access-group <nr_listy> <in out> interface <nazwa_interfejsu> Router(config-if)# ip access-group <nr_listy> <in out> nr_listy numer listy dostępu, która zostanie dodana do interfejsu. in lista będzie działała na ruch wchodzący do interfejsu. out lista będzie działała na ruch wychodzący z interfejsu. nazwa_interfejsu nazwa interfejsu, do którego zostanie dodana lista dostępu

89 ZADANIE.07 Usunięcie listy dostępu z interfejsu PIX(config)# no access-group <nr_listy> <in out> interface <nazwa_interfejsu> Router(config-if)# no ip access-group <nr_listy> <in out> Weryfikacja listy dostępu Router# show ip interface Router# show access-list PIX# show interface PIX# show access-list - 7 -

90 ZADANIE.07 Sprawozdanie Sprawdzić za pomocą programu ping działanie interfejsów: o z hosta wewnątrz sieci outside adres interfejsu Routera: o z hosta wewnątrz sieci outside adres interfejsu outside PIX a: Przeprowadzić testy: o Czy można połączyć się z sieci inside_ pracownicy do serwera FTP w dmz? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_pracownicy do serwera FTP w outside? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_pracownicy do serwera WWW w dmz? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_ pracownicy do serwera WWW w outside? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_dyrekcja do serwera FTP w outside?. Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_dyrekcja do serwera WWW w outside? Jeśli nie wyjaśnić dlaczego?. 4. Ustawienie portów przełącznika (tryb graficzny) Zadanie Skonfigurować porty przełącznika z użyciem trybu graficznego zgodnie z poniższą tabelą: Urządzenie trunk inside_admin inside_dyrekcja inside_pracownicy Szybkość: 100Mbit/s Szybkość: 100Mbit/s Szybkość: 10Mbit/s Szybkość: 10Mbit/s Duplex: auto Duplex: auto Duplex: auto Duplex: auto Opis: trunk Opis: inside_admin Opis: inside_dyrekcja Opis: inside_pracownicy - 8 -

91 ZADANIE.07 Materiał pomocniczy Zakładka trybu graficznego (HTTP Device Manager) umożliwiająca konfigurację parametrów portów Switch a: Sprawozdanie Sprawdzić w danych dotyczących karty sieciowej szybkość pracy interfejsu ethernet owego: o hosta wewnątrz sieci inside_admin: o hosta wewnątrz sieci inside_dyrekcja: o hosta wewnątrz sieci inside_pracownicy: - 9 -

92 ZADANIE DNAT (ang. Destination Network Address Translation) (tryb tekstowy i graficzny) Zadanie W trybie tekstowym: Dodać DNAT z przekierowaniem portów tak aby było możliwe połączenie z sieci outside do serwera WWW w sieci dmz. Dodać DNAT z przekierowaniem portów tak aby było możliwe połączenie z sieci outside do serwera FTP w sieci dmz. W trybie graficznym: Dodać DNAT z przekierowaniem portów tak aby było możliwe połączenie z sieci dmz do serwera FTP w sieci inside_pracownicy. Materiał pomocniczy Idea DNAT z przekierowaniem portów Konfiguracja DNAT (tryb tekstowy)

93 ZADANIE.07 DNAT + przekierowanie portów: PIX(config)# static (<sieć_docelowa>,<sieć_źródłowa>,) <tcp udp> <adres_źródłowy> <port_źródłowy> <adres_docelowy> <port_docelowy> netmask Uwaga: Aby możliwa była komunikacja z interfejsu o mniejszym poziomie bezpieczeństwa do interfejsu o wyższym poziomie bezpieczeństwa należy dodać odpowiednią listę dostępu (ang. access-list). Lista ta powinna pozwalać na połączenia na wybranym adresie i porcie oraz musi być dodana na ruch wejściowy na interfejs o mniejszym poziomie bezpieczeństwa. Konfiguracja DNAT (tryb graficzny) Zakładka trybu graficznego (ASDM) umożliwiająca konfigurację translacji adresów (NAT):

94 ZADANIE.07 Sprawozdanie Przeprowadzić testy: o czy można połączyć się z sieci dmz do serwera WWW w strefie outside? o czy można połączyć się z sieci dmz do serwera FTP w strefie outside? o czy można połączyć się z sieci outside do serwera WWW w strefie dmz? o czy można połączyć się z sieci outside do serwera FTP w strefie dmz? o czy można połączyć się z sieci dmz do serwera FTP w strefie inside_pracownicy? 6. Bezpieczeństwo portów (ang. port-security) Zadanie Ograniczyć liczbę hostów na każdym porcie Switch a należącym do sieci inside_pracownicy do 1 (pierwszy podłączony). W przypadku naruszenia tej zasady bezpieczeństwa port ma być wyłączony. Materiał pomocniczy Konfiguracja bezpieczeństwa portów Ustalenie zasad bezpieczeństwa dla wybranego portu: Switch(config)# interface fastethernet <nr_portu> Ustalenie roli portu: Switch(config-if)# switchport mode <access trunk> Ograniczenie dostępu hostów do Switch a: Switch(config-if)# switchport port-security

95 ZADANIE.07 Działanie w przypadku naruszenia reguły bezpieczeństwa: Switch(config-if)# switchport port-security violation <protect restrict shutdown> Ograniczenie liczby hostów na porcie: Switch(config-if)# switchport port-security maximum <liczba_hostów> Adresów MAC hostów Switch nauczy się automatycznie (pierwsze podłączone): Switch(config-if)# switchport port-security mac-address sticky Weryfikacja bezpieczeństwa portów Switch# show port-security Switch# show mac-address-table Switch# show running-config Uwaga: Jeśli nastąpi naruszenie zasad bezpieczeństwa i port zostanie wyłączony, konieczne będzie użycie polecenia shutdown a następnie no shutdown w celu dokonania reaktywacji tego portu. Sprawozdanie Przeprowadzić testy: o Czy MAC hosta podłączonego do bezpiecznego portu jest typu STATIC?. o Czy MAC hosta podłączonego jest zapisany w bieżącej konfiguracji?.. o Czy po podłączeniu do portu innego hosta port został wyłączony? 7. Czynności końcowe Zapisać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje na pendrive

96 ZADANIE.08 Imię Nazwisko ZADANIE.08 RADIUS (authentication-proxy, IEEE 802.1x) 2h 1. Zbudować sieć laboratoryjną 2. RADIUS 3. authentication-proxy 4. IEEE 802.1x 5. Czynności końcowe - 1 -

98 ZADANIE Czynności wstępne Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń. Przywrócić konfiguracje urządzeń z poprzedniego zadania. Sprawdzić za pomocą programu ping działanie interfejsów: o z hosta w sieci inside_admin adres podinterfejsu inside_admin PIX a: o z hosta w sieci inside_dyrekcja adres podinterfejsu inside_dyrekcja PIX a: o z hosta w sieci inside_pracownicy adres podinterfejsu inside_pracownicy PIX a: o z hosta wewnątrz sieci dmz adres interfejsu dmz PIX a: o z hosta wewnątrz sieci outside adres interfejsu Routera: o z hosta wewnątrz sieci outside adres interfejsu outside PIX a: Zainstalować w strefie dmz, outside i inside_pracownicy po jednym serwerze FTP i WWW (np. TYPSoft FTP Server oraz Apache). Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do dowolnego folderu na dysku. Utworzyć na każdym serwerze WWW prostą stronę z informacją o położeniu serwera. Przeprowadzić testy: o Czy można połączyć się z sieci inside_admin do serwera FTP w dmz? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_pracownicy do serwera WWW w outside? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_pracownicy do serwera WWW w dmz? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_pracownicy do serwera FTP w dmz? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_pracownicy do serwera FTP w outside? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_dyrekcja do serwera WWW w outside? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się z sieci inside_dyrekcja do serwera FTP w inside_pracownicy? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? Jeśli nie wyjaśnić dlaczego?. o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? Jeśli nie wyjaśnić dlaczego?

99 ZADANIE RADIUS RADIUS (Remote Authentication Dial-In User Service) opracowany został przez Livingston Enterprises, Inc (obecnie część Lucent Technologies). RADIUS jest usługą umożliwiającą uwierzytelnianie, autoryzowanie i rejestrowanie działań użytkownika. RADIUS składa się z trzech elementów: o Protokołu korzystającego z UDP/IP. o Serwera. o Klienta. 4. authentication-proxy Zadanie Włączyć authentication-proxy na PIX dla wszystkich połączeń wychodzących z sieci inside_pracownicy. Uwierzytelnianie musi odbywać się przy wykorzystaniu serwera RADIUS. Serwer RADIUS ma znajdować się w sieci inside_admin. Materiał pomocniczy - 4 -

100 ZADANIE.08 Idea działania authentication-proxy Konfiguracja authentication-proxy PIX(config)# aaa authentication include <protokół> <nazwa_sieci> <adres_sieci_źródłowej> <maska_sieci_źródłowej > <adres_sieci_docelowej> <maska_sieci_docelowej > <nazwa_bazy> Ustawienie komunikatów przy uwierzytelnianiu: PIX(config)# auth-prompt prompt <dowolny_tekst> PIX(config)# auth-prompt accept <dowolny_tekst> PIX(config)# auth-prompt reject <dowolny_tekst> protokół jeśli dowolny należy użyć słowa any. nazwa_bazy nazwa bazy, w której będą weryfikowane dane użytkownika. Uwaga: Uwierzytelnianie przebiega tylko po protokołach HTTP, HTTPS, FTP i TELNET

101 ZADANIE.08 Konfiguracja RADIUS (sewer z bazą danych użytkowników) Konfiguracja połączenia z serwerem RADIUS: PIX(config)# aaa-server <nazwa_bazy> protocol radius PIX (config-aaa-server-group)# exit PIX (config)# aaa-server <nazwa_bazy> (<nazwa_sieci>) host <adres_ip> PIX (config-aaa-server-host)# key <klucz> PIX (config-aaa-server-host)# authentication-port <nr_portu_1> PIX (config-aaa-server-host)# accounting-port <nr_portu_2> Sprawdzenie konfiguracji: PIX (config)# show running-config aaa-server nazwa_bazy nazwa bazy, w której będą weryfikowane dane użytkownika. nazwa_sieci nazwa sieci, w której znajduje się serwer RADIUS. adres_ip adres IP serwera RADIUS. klucz tajny klucz do szyfrowania komunikacji pomiędzy urządzeniem a serwerem RADIUS. nr_portu_1 nr portu, na którym nasłuchuje serwer RADIUS (dla uwierzytelniania jest to najczęściej port 1812). nr_portu_2 nr portu, na którym nasłuchuje serwer RADIUS (dla zliczania jest to najczęściej port 1813). Zarządzanie authentication-proxy Wyświetlenie statystyk uwierzytelniania PIX(config)# show uauth Usunięcie uwierzytelnionych użytkowników PIX(config)# clear uauth - 6 -

102 ZADANIE.08 Instalacja i konfiguracja serwera RADIUS: Zainstalować serwer RADIUS (program WinRadius) poprzez wypakowanie plików z archiwum ZIP do dowolnego foldera. Uruchomić Windows PL i dodać w Microsoft Access do bazy WinRadius.mdb dowolnego użytkownika (w tabeli tbusers wprowadzić nowy rekord podając tylko username i password). Uruchomić serwer (WinRadius.exe) i przeprowadzić jego konfiguracje: Wybrać z menu Settings->System, w oknie dialogowym wprowadzić: o NAS Secret klucz do szyfrowanej komunikacji pomiędzy serwerem a urządzeniem. o Authorization port port, na którym będzie nasłuchiwał serwer do uwierzytelniania użytkowników. o Accounting port port, na którym będzie nasłuchiwał serwer do zliczania działań użytkowników. Uwaga: Podaną konfigurację należy zapamiętać/zapisać na kartce tak aby przy konfiguracji danych o serwerze RADIUS na PIX podać te same informacje. Wybrać z menu Settings->Database, w oknie dialogowym nacisnąć przycisk Configure ODBC Automatically. Zamknąć program i ponownie go uruchomić. Jeśli serwer został poprawnie skonfigurowany pojawi się informacja, iż użytkownik/użytkownicy zostali wczytani i serwer jest uruchomiony prawidłowo

103 ZADANIE.08 Sprawozdanie Przeprowadzić testy: o Sprawdzić czy można się połączyć ze strefy inside_pracownicy do serwera FTP w strefie dmz Czy było wymagane uwierzytelnianie? Czy uwierzytelnianie powiodło się? o Sprawdzić czy można się połączyć ze strefy inside_pracownicy do serwera WWW w strefie outside Czy było wymagane uwierzytelnianie? Czy uwierzytelnianie powiodło się? o Sprawdzić czy można się połączyć ze strefy dmz do serwera FTP w strefie outside Czy było wymagane uwierzytelnianie? Czy uwierzytelnianie powiodło się? Sprawdzić zestawienie uwierzytelnionych użytkowników. Usunąć zestawienie uwierzytelnionych użytkowników. 5. Konfiguracja IEEE 802.1x Zadanie Włączyć obsługę 802.1x na Switch u. Włączyć obsługę 802.1x w systemie Windows. Skonfigurować porty Switch a należące do sieci inside_pracownicy tak aby wymagane było uwierzytelnianie 802.1x. Uwierzytelnianie musi odbywać się przy wykorzystaniu serwera RADIUS. Serwer RADIUS ma znajdować się w sieci inside_admin

104 ZADANIE.08 Materiał pomocniczy Idea działania IEEE 802.1x IEEE 802.1x protokół gwarantujący bezpieczny dostęp do sieci (a dokładnie do danego portu Switch a). Aby uzyskać dostęp do portu Switch a (do sieci LAN) należy przeprowadzić proces uwierzytelniania (korzystając np. z dodatkowego serwera RADIUS). Konfiguracja IEEE 802.1x (Switch) Switch(config)# aaa new-model Do uwierzytelniania wybrać serwer RADIUS: Switch(config)# aaa authentication dot1x default group radius Aktywować IEEE 802.1x: Switch(config)# dot1x system-auth-control Skonfigurować wybrany port Switch a: Switch(config-if)# switchport mode access Switch(config-if)# dot1x pae authenticator IOS: c2960-lanbasek9-tar se5 Switch(config-if)# dot1x port-control auto IOS: c2960-lanbasek9-tar se2 Switch(config-if)# authentication port-control auto Skonfigurować adres serwera RADIUS, porty i hasła do komunikacji z nim: Switch(config)# radius-server host <adres_ip> auth-port <nr_portu_1> acct-port <nr_portu_2> key <klucz> - 9 -

105 ZADANIE.08 Weryfikacja działania IEEE 802.1x Switch# show dot1x all Switch# show dot1x interface fa0/x Konfiguracja IEEE 802.1x (Windows) Uwaga: Aby host obsługiwał protokół 802.1x należy: o w systemie Windows włączyć usługę Konfiguracja Sieci Bezprzewodowej (Wireless Configuration), o w systemie Windows z SP3 włączyć usługę Automatyczna Konfiguracja Sieci Przewodowej (Wired AutoConfig), o we właściwościach kablowego połączenia sieciowego w zakładce Authentication włączyć protokół 802.1x i wybrać typ EAP MD5-Challenge

106 ZADANIE.08 Sprawozdanie Podłączyć host do portu z włączonym 802.1x (sieć inside-pracownicy). Przeprowadzić testy: o Czy wymagane jest uwierzytelnienie? o Czy host może ping ować swoją bramę? o Czy działa połączenie z hosta do serwera WWW w strefie outside? 6. Czynności końcowe Zapisać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje na pendrive

107 ZADANIE.09 Imię Nazwisko ZADANIE.09 Syslog, SNMP (Syslog, SNMP) 1,5h 1. Zbudować sieć laboratoryjną 2. Czynności wstępne 3. Syslog 4. SNMP 5. Czynności końcowe - 1 -

110 ZADANIE Syslog Zadanie Skonfigurować dwa serwery Syslog (np. Kiwi Syslogd): o w sieci inside_admin o w sieci OUTSIDE Skonfigurować rejestrowanie zdarzeń na serwerach Syslog zgodnie z poniższą tabelą: Urządzenie Parametry Syslog Serwer: OUTSIDE Wysyłane poziomy ważności: 0 6 Znacznik czasowy: czas pracy urządzenia Kod źródła: local2 Serwer: inside_admin Wysyłane poziomy ważności: 0 4 Znacznik czasowy: czas pracy urządzenia Kod źródła: local1 Serwer: inside_admin Wysyłane poziomy ważności: 0 6 Znacznik czasowy: czas bieżący Kod źródła: local0 Materiał pomocniczy Idea Syslog Syslog służy do rejestrowania zdarzeń. Zdarzenia systemowe są zazwyczaj rejestrowane (zgłaszane) na konsoli systemu, chyba że funkcja ta zostanie wyłączona. Syslog to mechanizm przeznaczony dla aplikacji, procesów i systemu operacyjnego urządzeń Cisco, służący do raportowania aktywności i stanów błędów. Protokół Syslog umożliwia urządzeniom Cisco wysłanie z własnej inicjatywy komunikatów do stacji zarządzania siecią. Każdy zarejestrowany komunikat Syslog zawiera: znacznik czasowy, wskazanie urządzenia, poziom ważności oraz komunikat tekstowy. Te komunikaty to czasami jedyny sposób na uzyskanie wglądu w przyczyny nieprawidłowego działania urządzenia

111 ZADANIE.09 Poziom ważności określa istotność komunikatu o błędzie. Istnieje osiem poziomów ważności, od 0 do 7, przy czym poziom 0 jest najbardziej istotny, a poziom 7 jest najmniej istotny. Konfiguracja urządzeń Włączenie rejestrowania zdarzeń do wszystkich miejsc docelowych: hostname(config)# logging on Wysyłanie komunikatów do serwera Syslog o podanym adresie IP: hostname(config)# logging <adres_ip> Ustawienie rejestrowania zdarzeń o wybranym poziomie ważności: hostname(config)# logging trap <nazwa_poziomu> Określenie znacznika czasowego dodawanego do rejestrowanego komunikatu: hostname(config)#service timestamps log <datetime uptime> - 5 -

112 ZADANIE.09 Ustalenie kodu źródła: hostname(config)# logging facility <nazwa> Włączenie rejestrowania zdarzeń do wszystkich miejsc docelowych: PIX(config)# logging on Wysyłanie komunikatów do serwera Syslog o podanym adresie IP: PIX(config)# logging host <nazwa_interfejsu> <adres_ip> Ustawienie rejestrowania zdarzeń o wybranym poziomie ważności: PIX(config)# logging trap <nazwa_poziomu> Określenie znacznika czasowego dodawanego do rejestrowanego komunikatu: PIX(config)# logging timestamp Ustalenie kodu źródła: PIX(config)# logging facility <numer> Weryfikacja Syslog hostname# show logging - 6 -

113 ZADANIE.09 Sprawozdanie Przeprowadzić testy: o Rozpocząć konfigurację urządzenia poprzez SSH, następnie wejść i wyjść z trybu konfiguracji globalnej. Czy serwer Syslog otrzymał komunikat z Routera? Jaki jest poziom ważności tego komunikatu? Jaka jest treść tego komunikatu? Podać czas zawarty w komunikacie: o Odłączyć kabel od jednego z aktywnych interfejsów fizycznych (tylko nie ten, przez który urządzenie komunikuje się z serwerem Sysylog!). Czy serwer Syslog otrzymał komunikat z Routera? Jaki jest poziom ważności tego komunikatu? Podać czas zawarty w komunikacie: Przeprowadzić testy: o Rozpocząć konfigurację urządzenia poprzez TELNET, następnie wejść i wyjść z trybu konfiguracji globalnej. Czy serwer Syslog otrzymał komunikat ze Switch a? Jaki jest poziom ważności tego komunikatu? Jaka jest treść tego komunikatu? Podać czas zawarty w komunikacie: o Odłączyć kabel od jednego z aktywnych interfejsów fizycznych (tylko nie ten, przez który urządzenie komunikuje się z serwerem Sysylog!). Czy serwer Syslog otrzymał komunikat ze Switch a? Jaki jest poziom ważności tego komunikatu? Podać czas zawarty w komunikacie: - 7 -

114 ZADANIE.09 Przeprowadzić testy: o Rozpocząć konfigurację urządzenia poprzez SSH, następnie wejść i wyjść z trybu konfiguracji globalnej. Czy serwer Syslog otrzymał komunikat z PIX a? Jaki jest poziom ważności tego komunikatu? Jaka jest treść tego komunikatu? Podać czas zawarty w komunikacie: o Odłączyć kabel od jednego z aktywnych interfejsów fizycznych (tylko nie ten, przez który urządzenie komunikuje się z serwerem Sysylog!). Czy serwer Syslog otrzymał komunikat z PIX a? Jaki jest poziom ważności tego komunikatu? Podać czas zawarty w komunikacie: o Połączyć się z sieci inside_pracownicy do serwera WWW w outside. Czy serwer Syslog otrzymał komunikat z PIX a? Jaki jest poziom ważności tego komunikatu? Jaka jest treść tego komunikatu? Podać czas zawarty w komunikacie: - 8 -

115 ZADANIE SNMP (ang. Simple Network Management Protocol) Zadanie Instalacja i konfiguracja serwera SNMP: Zainstalować w sieci inside-admin (VLAN 2) serwer/menadżer SNMP (np. AdRem SNMP Manager). Skonfigurować serwer/menadżer SNMP (klientami będą PIX i Switch): o Dodać profil dla PIX a (Tools->Options->SNMP Profiles): Tryb Read: Wersja SNMP: 2c Hasło: dowolne Tryb Write: wyłączony o Dodać profil dla Switch a (Tools->Options->SNMP Profiles): Tryb Read: Wersja SNMP: 3 auth Protokół uwierzytelniania: HMAC-MD5-96 Użytkownik: dowolny Hasło: dowolne Tryb Write: wyłączony o Skonfigurować węzeł dla PIX a (Node->Add): Podać IP PIX a. Wybrać profil PIX a dla węzła (prawy przycisk myszy na wierszu węzła i pozycja Properties). o Skonfigurować węzeł dla Switch a (Node->Add): Podać IP Switch a. Wybrać profil Switch a dla węzła (prawy przycisk myszy na wierszu węzła i pozycja Properties). o Włączyć odbieranie pułapek (w oknie głównym programu, na dolnym pasku włączanie/wyłączanie odbierania pułapek SNMP: Trap Receiver Started)

116 ZADANIE.09 Konfiguracja agentów SNMP na urządzeniach sieciowych: Skonfigurować agentów SNMP zgodnie z poniższą tabelą: Urządzenie Parametry agenta SNMP Serwer: inside_admin Wersja: 3 Poziom bezpieczeństwa: auth Protokół uwierzytelniania: HMAC-MD5-96 Grupa: dowolna Użytkownik: dowolny Hasło: dowolne Pułapki: interfejs up, interfejs down Serwer: inside_admin Wersja: 2c Hasło: dowolne Pułapki: interfejs up, interfejs down Materiał pomocniczy Idea SNMP SNMP (ang. Simple Network Management Protocol) jest protokołem warstwy aplikacji służącym do monitorowania i zarządzania pracą węzłów sieci komputerowej. Obecnie używane wersje SNMP to 1, 2c i 3. SNMP korzysta w warstwie transportowej z UDP (porty 161, 162)

117 ZADANIE.09 Konfiguracja agenta SNMP (v2c) Ustawienie hasła do komunikacji z menadżerem SNMP: PIX(config)# snmp-server community <hasło> Konfiguracja ustawień menadżera SNMP: PIX(config)# snmp-server host <nazwa_interfejsu> <adres_serwera> community <hasło> version <1 2c> Ustalenie, które pułapki SNMP mają być wysyłane do managera: PIX(config)# snmp-server enable traps snmp <authentication> <coldstart> <linkup> <linkdown> Konfiguracja agenta SNMP (v3) Konfiguracja engineid dla SNMP v3: Switch(config)# snmp-server engineid remote <adres_serwera> <id_silnika> Konfiguracja grupy: Switch(config)# snmp-server group <nazwa_grupy> <v1 v2c v3> <auth noauth priv> Konfiguracja użytkownika z hasłem w wybranej grupie oraz do wybranego serwera: Switch(config)# snmp-server user <użytkownik> <nazwa_grupy> remote <adres_serwera> v3 auth <md5 sha> <hasło> Switch(config)# snmp-server user <użytkownik> <nazwa_grupy> v3 auth <md5 sha> <hasło>

118 ZADANIE.09 Konfiguracja ustawień serwera/menedżera SNMP: Switch(config)# snmp-server host <adres_serwera> informs version 3 auth <użytkownik> config Włączenie przesyłania pułapek do managera SNMP: Switch(config)# snmp-server enable traps Wyjaśnienie pojęć: id_silnika - identyfikator urządzenia, minimum 10 hexadecymalnych znaków. adres_serwera adres IP serwera/menadżera SNMP. Weryfikacja działania SNMP Informacje o pakietach SNMP: hostname# show snmp-server statistics Sprawozdanie Przeprowadzić testy: o Kliknąć dwukrotnie na węźle PIX a. Czy manager SNMP odczytał dane z PIX a? Podaj adresy fizyczne interfejsów PIX a (także podinterfejsów): o Wygenerować pułapkę (np. poprzez odłączenie kabla od interfejsu outside). Czy manager SNMP odebrał pułapkę z PIX a? Podaj OID tej pułapki:

119 ZADANIE.09 Przeprowadzić testy: o Kliknąć dwukrotnie na węźle Switch a. Czy manager SNMP odczytał dane ze Switch a? Podaj adres fizyczny interfejsu fastethernet 0/20 Switch a: 5. Czynności końcowe Zapisać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje na pendrive

120 ZADANIE.10 Imię Nazwisko ZADANIE.10 DHCP (Serwer dedykowany, Router, PIX) 1,5h 1. Zbudować sieć laboratoryjną 2. Czynności wstępne 3. DHCP 4. Czynności końcowe - 1 -

123 ZADANIE DHCP (ang. Dynamic Host Configuration Protocol) Zadanie Skonfigurować dwa serwery DHCP, na Routerze i PIX ie, zgodnie z poniższą tabelą: Urządzenie Konfiguracja DHCP Obsługiwane sieci: OUTSIDE Czas wynajmu ustawień: 24 godz. Pula adresów: x.x.x.165 x.x.x.[ostatni_możliwy] Obsługiwane sieci: inside_dyrekcja, inside_pracownicy Czas wynajmu ustawień: 2 godz. Pula adresów (inside_dyrekcja): x.x.10.0 x.x Pula adresów (inside_pracownicy): x.x.20.0 x.x Materiał pomocniczy Idea działania DHCP DHCP to protokół warstwy 7 (aplikacji) zdefiniowany w RFC 2132 umożliwiający automatyczna konfigurację węzłów w sieci komputerowej. W warstwie transportowej używa protokołu UDP. Klient wysyła komunikaty do serwera na port 67. Serwer wysyła komunikaty do klienta na port 68. Komunikat klienta o przydział konfiguracji: - 4 -

Pokazać jeszcze