pasja-informatyki.pl

Podobne dokumenty
1) Skonfiguruj nazwę hosta na ruterze zgodną z przyjętą topologią i Tabelą adresacji.

Laboratorium Użycie wiersza poleceń w celu zebrania informacji na temat urządzeń sieciowych

Topologia sieci. Cele nauczania.

dopełnienie wystarczy wpisać początek polecenia, np: en i nacisnąć klawisz TAB na klawiaturze, a system dopełni nam poleceni do enable,

Laboratorium Zabezpieczanie urządzeń sieciowych

Administracja sieciami LAN/WAN Komunikacja między sieciami VLAN

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

Tak wygląda taki kabel

pasja-informatyki.pl

ZADANIE.08 RADIUS (authentication-proxy, IEEE 802.1x) 2h

Laboratorium - Dostęp do urządzeń sieciowych za pomocą SSH


Zakład Teleinformatyki i Telekomutacji LABORATORIUM SIECI

Laboratorium - Konfigurowanie adresu do zarządzania przełącznikiem.

ZiMSK. Konsola, TELNET, SSH 1

LABORATORIUM SIECI. Zakład Cyberbezpieczeństwa IT PW. Instrukcja do ćwiczenia: Switching, VLAN & Trunking Przedmiot: Sieci Lokalne (LAN)

Packet Tracer - Konfiguracja ustawień początkowych przełącznika

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

Wprowadzenie do obsługi systemu IOS na przykładzie Routera

Podstawowa konfiguracja routerów. Interfejsy sieciowe routerów. Sprawdzanie komunikacji w sieci. Podstawy routingu statycznego

ZADANIE.06 Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny) 2,5h

Ćwiczenie 6 Przełącznik zarządzalny T2500G-10TS (TL-SG3210).

DESlock+ szybki start

Lab 2 ĆWICZENIE 2 - VLAN. Rodzaje sieci VLAN

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Windows Server Serwer RADIUS

ZADANIE.08. RADIUS (authentication-proxy, IEEE 802.1x) 2h

Instrukcja instalacji Control Expert 3.0

pasja-informatyki.pl

Ćwiczenie Konfiguracja aspektów bezpieczeństwa przełącznika

ZADANIE.02 Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

PODSTAWOWA OBSŁUGA PROGRAMU PROGRAMU PACKET TRACER TRYB REAL TIME

pasja-informatyki.pl

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

1. Zgodnie z poniższym schematem ustanów połączenia: konsolowe i ethernetowe z urządzeniem

INSTRUKCJA OBSŁUGI DLA SIECI

Tomasz Greszata - Koszalin

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

Instrukcja do laboratorium 1

11. Autoryzacja użytkowników

Podstawy Sieci Komputerowych Laboratorium Cisco zbiór poleceń

Instalacja i konfiguracja serwera SSH.

4. Podstawowa konfiguracja

Sieci Komputerowe Laboratorium 11. VLAN i VTP

ZADANIE.09 Syslog, SNMP (Syslog, SNMP) 1,5h

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Instrukcja do laboratorium 1. Podstawowa konfiguracja środowiska MPLS (Multi-Protocol Label Switching)

Laboratorium 2 Sieci Komputerowe II Nazwisko Imię Data zajęd

Protokoły zdalnego logowania Telnet i SSH

MikroTik Serwer OpenVPN

Systemy bezpieczeństwa sieciowego

Warsztaty z Sieci komputerowych Lista 3

ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami

Bezpieczeństwo systemów informatycznych

Konfiguracja klientów SSH - PuTTY i WinSCP

Laboratorium z przedmiotu Sieci Komputerowe - Wirtualne sieci lokalne. Łukasz Wiszniewski

Zadanie OUTSIDE /24. dmz. outside security- level /24. inside security- level /16 VLAN

Telnet. Telnet jest najstarszą i najbardziej elementarną usługą internetową.

Pracownia internetowa w szkole ZASTOSOWANIA

Switching, VLAN & Trunking 2

Z pojedynczym obiekcie zasady grupy znajdziemy dwa główne typy ustawień:

Laboratorium Ericsson HIS NAE SR-16

Warsztaty z Sieci komputerowych Lista 3

Rozdział 5: KONFIGURACJA ROUTERÓW ZA POŚREDNICTWEM IOS

ZADANIE.06 Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny)

Praca z programami SAS poza lokalną siecią komputerową UZ. Zestawienie tunelu SSH oraz konfiguracja serwera proxy w przeglądarce WWW

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Vigor Cisco ISDN PPP (CHAP)

Moduł Ethernetowy. instrukcja obsługi. Spis treści

Instrukcja obsługi serwera FTP v

OUTSIDE /24. dmz. outside /24. security- level /16 TRUNK 0/1 VLAN2 0/2 VLAN10 0/3-0/10 VLAN20 0/11-0/24

ZADANIE.08 Cisco.&.Juniper RADIUS (authentication-proxy, IEEE 802.1x)

Switch Cisco Catalyst 2960-Plus

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat adresu sprzętowego MAC.

Przewodnik technologii ActivCard

Ćwiczenie Konfiguracja i weryfikacja rozszerzonych list kontroli dostępu (ACL) Topologia

Krótka instrukcja instalacji

Windows Server 2012 Active Directory

ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Usługi sieciowe systemu Linux

Ćwiczenie Rozwiązywanie problemów związanych z trasami statycznymi IPv4 oraz IPv6 Topologia

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Konfiguracja aplikacji ZyXEL Remote Security Client:

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Instrukcja konfiguracji usługi DDNS na dedykowanym serwerze dla urządzeń Internec serii i7

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek poniżej:

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek

ZiMSK. mgr inż. Artur Sierszeń mgr inż. Łukasz Sturgulewski ZiMSK 1

Instalacja i konfiguracja serwera telnet.

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

PBS. Wykład Organizacja zajęć. 2. Podstawy obsługi urządzeń wykorzystywanych podczas laboratorium.

Zdalna obsługa transcievera. H A M R A D I O D E L U X E R e m o t e S e r v e r C o n f i g u r a t i o n

oprogramowania F-Secure

INSTRUKCJA OBSŁUGI Program konfiguracji sieciowej Net configuration Drukarka A11

Podłącz bezprzewodowy punkt dostępowy DWL-700AP do sieci.

Konfiguracja poczty IMO w programach Microsoft Outlook oraz Mozilla Thunderbird

Packet Tracer - Podłączanie routera do sieci LAN

Instalacja Active Directory w Windows Server 2003

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Transkrypt:

Szyfrowanie haseł dostępu 2017 pasja-informatyki.pl Sieci komputerowe Konfiguracja przełącznika CISCO Szyfrowanie haseł, AAA, SSH, Port Monitor, EtherChannel Damian Stelmach

Szyfrowanie haseł dostępu 2018 Spis treści Szyfrowanie haseł dostępu... 3 Tworzenie użytkowników... 6 Metoda AAA protokoły RADIUS i TACACS... 8 Metoda AAA konfiguracja przełącznika... 9 Konfiguracja SSH... 11 Port Monitor (Port Mirroring)... 13 Łączenie portów w logiczny interfejs (LAG)... 15 Sieci Komputerowe Przełączniki CISCO hasła, Port Monitor, Etherchannel Strona 2

Szyfrowanie haseł dostępu 2018 Szyfrowanie haseł dostępu Pierwszą czynnością jaką powinien wykonać administrator przed rozpoczęciem konfiguracji każdego urządzenia sieciowego jest zabezpieczenie dostępu do tejże konfiguracji poprzez hasło. Na przełącznikach CISCO możemy skonfigurować hasło wymagane przy logowaniu się do panelu konfiguracyjnego (konsoli CLI), a także hasło wymagane w celu przejścia do trybu uprzywilejowanego. Przypomnijmy: Switch> enable Switch# conf t Switch(config)# line console 0 Switch(config-line)# password cisco Switch(config-line)# login Wykonanie tych poleceń utworzy nam hasło (cisco) wymagane do połączenia konsolowego. Z kolei wydanie tych poleceń: Switch> enable Switch# conf t Switch(config)# enable password cisco Uruchomi nam hasło wymagane podczas przejścia do tryby uprzywilejowanego. Utworzenie haseł za pomocą tych metod nie gwarantuje pełnego bezpieczeństwa, ponieważ hasła w pamięci urządzenia przechowywane są jawnym tekstem. Można je odczytać, uruchamiając w trybie uprzywilejowanym poleceniem show running-config plik konfiguracyjny. Część jego zawartości, razem z hasłami widoczna jest poniżej: Sieci Komputerowe Przełączniki CISCO hasła, Port Monitor, Etherchannel Strona 3

Szyfrowanie haseł dostępu 2018 Istnieje kilka metod, które pozwalają nam zabezpieczyć hasła zapisane w pliku konfiguracyjnym. Pierwsza z nich to zaszyfrowanie haseł metodą Vigenere (poziom 7 szyfrowania). Aby takie szyfrowanie utworzonych już haseł zrealizować, wystarczy w trybie konfiguracji wykonać polecenie service password-encryption. Od tego momentu, wszystkie zapisane hasła na urządzeniu będą szyfrowane właśnie metodą Vigenere: Niestety szyfrowanie czegokolwiek na poziomie 7, nie daje żadnych gwarancji bezpieczeństwa, ponieważ jest to bardzo łatwa do odwrócenia metoda. Z łatwością można znaleźć w sieci wiele stron, które po podstawie skopiowanego ciągu znaków potrafią odwrócić to szyfrowanie: Jak zatem widać i to rozwiązanie nie daje nam żadnych gwarancji bezpieczeństwa, dlatego warto przyjrzeć się innej metodzie. Dużo bezpieczniejsza i bardziej skuteczna będzie metoda szyfrowania wykorzystująca algorytm MD5. Jest to metoda, z której nie da się odczytać hasła z przechwyconego Sieci Komputerowe Przełączniki CISCO hasła, Port Monitor, Etherchannel Strona 4

Szyfrowanie haseł dostępu 2018 ciągu znakowego, dlatego jest dużo bardziej skuteczna. Aby wykorzystać algorytm MD5 do zaszyfrowania hasła przejścia do trybu uprzywilejowanego należy wykonać następujące polecenia: Switch> enable Switch# conf t Switch(config)# enable secret cisco Kluczowym jest tutaj polecenie secret, które odpowiada właśnie za szyfrowanie algorytmem MD5. Od momentu wykonania tego polecenia hasło przejścia do trybu uprzywilejowanego zapisane będzie na urządzeniu w postaci zaszyfrowanego ciągu znaków: Dla zwiększenia bezpieczeństwa powinniśmy jeszcze usunąć hasło zaszyfrowane na poziomie 7. Do realizacji tej czynności należy wykonać w trybie konfiguracji polecenie no enable password. Sieci Komputerowe Przełączniki CISCO hasła, Port Monitor, Etherchannel Strona 5

Tworzenie użytkowników 2018 Tworzenie użytkowników Idąc dalej, powinniśmy teraz zaszyfrować algorytmem MD5 hasło wymagane przy połączeniu konsolowym. Niestety nie jest to możliwe w sytuacji, kiedy do uwierzytelnienia na przełączniku używamy tylko hasła. W pamięci urządzenia, hasło wymagane przy połączeniu konsolowym czy też przy połączeniach za pośrednictwem Telnetu czy SSH może być zapisane albo jawnym tekstem, albo w postaci zaszyfrowanego ciągu łatwego do odszyfrowania. Jeśli chcielibyśmy wykorzystać silniejszą metodę szyfrowania należy utworzyć na urządzeniu użytkownika wraz z hasłem. Wówczas możliwa jest do wykorzystania metoda, algorytm MD5. Użytkownika na urządzeniu tworzymy wydając następujące polecenia: Switch> enable Switch# conf t Switch(config)# username user secret haslo Po ich wykonaniu utworzony zostanie użytkownik o podanej nazwie i haśle, które zaszyfrowane będzie algorytmem MD5: Teraz należy jeszcze wykonać polecenia, które pozwolą stosować nazwę użytkownika i hasło podczas logowania do przełącznika za pośrednictwem połączenia konsolowego. W trybie konfiguracji wydajemy następujące polecenia: Sieci Komputerowe Przełączniki CISCO hasła, Port Monitor, Etherchannel Strona 6

Tworzenie użytkowników 2018 Switch(config)# line console 0 Switch(config-line)# login local Pierwsze polecenie uruchamia nam konfigurację połączenia konsolowego, drugie z kolei uruchamia logowanie za pomocą lokalnej bazy użytkowników. Od teraz, chcąc połączyć się z przełącznikiem za pomocą połączenia konsolowego, należy podać nazwę użytkownika oraz hasło: Podsumowując: aby utworzyć użytkownika z hasłem zaszyfrowanym algorytmem MD5 oraz uruchomić uwierzytelnianie wymagane przy połączeniu konsolowym należy wydać następujące polecenia: Switch> enable Switch# conf t Switch(config)# username user secret haslo Switch(config)# line console 0 Switch(config-line)# login local Sieci Komputerowe Przełączniki CISCO hasła, Port Monitor, Etherchannel Strona 7

Metoda AAA protokoły RADIUS i TACACS 2018 Metoda AAA protokoły RADIUS i TACACS Omówione poprzednio metody weryfikacji czyli metoda oparta na haśle oraz metoda oparta na bazie użytkowników nie zamykają jeszcze całkowicie kwestii związanych z dostępem do konfiguracji urządzeń sieciowych. Jest jeszcze jedna metoda, najbardziej zaawansowana, zwana metodą potrójnego A. Nazwa tej metody wywodzi się od 3 słów Authentication, Authorization oraz Accounting. Autentykacja to uwierzytelnienie czyli sprawdzenie czy dany użytkownik jest faktycznie tym za kogo się podaje, autoryzacja to nic innego jak weryfikowanie do jakich zasobów konkretny użytkownik ma dostęp, accouting natomiast, zwany po polsku raportowaniem, to nic innego jak zbieranie informacji logów o czynnościach jakie wykonał użytkownik. Mechanizm potrójnego A może wykorzystywać lokalną bazę użytkowników, którą utworzoną mamy na urządzeniu, ale także bazy użytkowników zapisane na serwerach logowania, które stosują protokoły uwierzytelniania takie jak RADIUS lub też TACACS. Oba te protokoły służą do weryfikacji danych o użytkownikach i można je wykorzystać również do uwierzytelniania na urządzeniach sieciowych. Serwery logowania to nic innego jak konkretne usługi sieciowe, korzystające z tych protokołów, które skonfigurować możemy na dedykowanym oprogramowaniu np. CISCO Secure, ale również na Linuxach czy Windowsach. Na serwerze Windowsowym da się np. skonfigurować usługę serwera logowania i połączyć ją z Active Directory, dzięki czemu możemy logować się do urządzenia korzystając z kont domenowych. Protokół RADIUS jest to rozwiązanie otwarte, wspierane przez większość firma zajmujących się technologiami sieciowymi, działające na protokole transportowym UDP. TACACS natomiast to rozwiązanie firmy CISCO, pracujące z wykorzystaniem protokołu transportowego TCP. W przypadku tego pierwszego protokołu nie mamy pełnego szyfrowania, to znaczy tylko część komunikacji pomiędzy klientem, a serwerem RADIUS realizująca uwierzytelnianie jest szyfrowana, pozostałe polecenia przesyłane są jawnym tekstem. TACACS natomiast szyfruje cała komunikację, dlatego można uznać, że jest zdecydowanie bezpieczniejszy. Poniższa tabela przedstawia porównanie tych dwóch protokołów uwierzytelniania: RADIUS Stosuje protokół transportowy UDP TACACS Stosuje protokół transportowy TCP Działa na portach 1812 lub 1813 Działa na porcie 49 Nie szyfruje całej komunikacji Szyfruje cała komunikację Jest to standard otwarty Jest to standard będący własnością CISCO Sieci Komputerowe Przełączniki CISCO hasła, Port Monitor, Etherchannel Strona 8

Metoda AAA konfiguracja przełącznika 2018 Metoda AAA konfiguracja przełącznika Aby możliwa była realizacja logowania na urządzeniu poprzez metodę AAA wymagany jest w sieci serwer, który odpowiadał będzie za zdalne uwierzytelnianie użytkowników. Zakładając, ze taki serwer w sieci już pracuje, do tego aby poprawnie skonfigurować metodę AAA na urządzeniu potrzebować będziemy adres IP tego serwera, a także hasło (klucz) dostępu. W programie Packet Tracer dostępna jest symulacja serwera wraz z usługą AAA. Po podłączeniu serwera do przełącznika, powinniśmy dokonać jego konfiguracji, może ona wyglądać tak: W pierwszej tabeli widoczne są dane przełącznika sieciowego (jego nazwa, adres IP, rodzaj protokołu uwierzytelnia oraz hasło). Druga tabela to zbiór użytkowników, którzy będą mogli logować się do urządzenia. Adres IP tego serwera to 10.0.0.1/24. Teraz czas na konfigurację przełącznika. W przypadku programu Packet Tracer konfiguracja metody AAA możliwa jest tylko na przełączniku z serii 3500, dlatego też na tym sprzęcie ją zrealizujemy. Zaczniemy od tego, że zmienimy nazwę naszego przełącznika (Switch zamienimy na s1) i utworzymy sobie lokalnego użytkownika, który będzie mógł zalogować się do urządzenia jeśli z jakiś powodów konfiguracja AAA będzie nieskuteczna, albo utracimy możliwość komunikacji z serwerem: Switch> enable Sieci Komputerowe Przełączniki CISCO hasła, Port Monitor, Etherchannel Strona 9

Metoda AAA konfiguracja przełącznika 2018 Switch# conf t Switch(config)# hostname s1 s1(config)# username user secret hasło Teraz musimy ustawić adres IP dla przełącznika. Przypominam, że na przełączniku adres IP nadajemy dla całej sieci VLAN, a że domyślnie wszystkie porty przełącznika pracują w sieci VLAN o identyfikatorze 1, dla takiego interfejsu nadajemy adres IP: s1(config)# interface vlan 1 s1(config-if)# ip address 10.0.0.2 255.255.255.0 s1(config-if)# no shutdown s1(config-if)# exit Na koniec uruchamiamy funkcjonalność AAA dla przełącznika wydając następujące polecenia: s1(config)# aaa new-model s1(config)# tacacs-server host 10.0.0.1 key trudnehaslo s1(config)# aaa authentication login default group tacacs+ local Pierwsze polecenie uruchamia nam uwierzytelniania za pomocą potrójnego A. W drugiej linii podajemy parametry serwera, a na koniec uruchamiamy możliwość uwierzytelniania serwerowego. Ostatnie parametr (local) uruchamia możliwość logowania poprzez lokalnego użytkownika, w razie braku komunikacji z serwerem uwierzytelniania. Podsumowując: aby uruchomić na urządzeniu sieciowym logowanie z użyciem serwera (zakładając, że mamy już skonfigurowany serwer AAA), należy wykonać polecenia: Switch> enable Switch# conf t Switch(config)# hostname s1 s1(config)# username user secret haslo s1(config)# interface vlan 1 s1(config-if)# ip address 10.0.0.2 255.255.255.0 s1(config-if)# no shutdown s1(config-if)# exit s1(config)# aaa new-model s1(config)# tacacs-server host 10.0.0.1 key trudnehaslo s1(config)# aaa authentication login default group tacacs+ local Sieci Komputerowe Przełączniki CISCO hasła, Port Monitor, Etherchannel Strona 10

Konfiguracja SSH 2018 Konfiguracja SSH Protokół SSH jest to protokół zdalnego dostępu, który umożliwia zdalne łączenie się z hostami (serwerami, przełącznikami, ruterami) stosując szyfrowaną komunikację. Jest to bardzo popularna metoda realizowania zdalnego dostępu, dlatego warto ją również zastosować w przypadku konfiguracji urządzeń sieciowych. Konfigurację zdalnego dostępu z wykorzystaniem protokołu SSH rozpoczynamy wydając następujące polecenia: Switch> enable Switch# conf t Switch(config)# hostname s1 s1(config)# enable secret haslo s1(config)# ip domain-name pasja.com s1(config)# username user secret haslo s1(config)# interface vlan 1 s1(config-if)# ip address 10.0.0.2 255.255.255.0 s1(config-if)# no shutdown s1(config-if)# exit Za pomocą powyższych poleceń zmieniliśmy nazwę urządzenia, ustawiliśmy hasło do trybu uprzywilejowanego, a także ustawiliśmy nazwę domeny. Te elementy konfiguracji są niezbędne do tego aby uruchomić SSH, ale pamiętajcie, że nazwa urządzenia oraz domena mogą być inne. Następnie utworzyliśmy sobie użytkownika oraz nadaliśmy adres IP dla przełącznika. Idziemy dalej wprowadzając polecenie: s1(config)# crypto key generate rsa które wymusi uruchomienie serwera SSH na przełączniku i pozwoli na generowanie kluczy szyfrujących. Po wykonaniu tego polecenia pojawi się komunikat: The name for the keys will be: s1.pasja.com Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: Informujący nas o nadaniu nazwy dla kluczy szyfrujących (s1.pasja.com) oraz wymuszający na nas określenie długości pojedynczego klucza. Teraz musimy podać wielkość takiego klucza, standardowy rozmiar to 1024 bity, taki też można podać. W dalszej kolejności wybieramy wersję protokołu SSH wydając polecenie: s1(config)# ip ssh version 2 Sieci Komputerowe Przełączniki CISCO hasła, Port Monitor, Etherchannel Strona 11

Konfiguracja SSH 2018 Teraz możemy przystąpić już do uruchomienia możliwości logowania poprzez protokół SSH na wybranych liniach wirtualnych wydając następujące polecenia: s1(config)# line vty 0 15 s1(config-line)# transport input ssh s1(config-line)# login local Jeśli konfigurujemy faktyczny sprzęt w naszej sieci i chcemy podłączyć się do niego poprzez protokół SSH, no to oczywiście możemy użyć do tego programu PUTTY. Jeśli chcemy natomiast pobawić się w konfigurację poprzez SSH w programie Packet Tracer, musimy uruchomić wiersz polecenia na komputerze (command prompt) i wprowadzić polecenie: ssh -l user 10.0.0.2. Gdzie user to nazwa użytkownika, a 10.0.0.2 to adres IP urządzenia. Podsumowując: aby uruchomić możliwość łączenia się z przełącznikiem poprzez protokół SSH, należy wykonać polecenia: Switch> enable Switch# conf t Switch(config)# hostname s1 s1(config)# enable secret haslo s1(config)# ip domain-name pasja.com s1(config)# username user secret haslo s1(config)# interface vlan 1 s1(config-if)# ip address 10.0.0.2 255.255.255.0 s1(config-if)# no shutdown s1(config-if)# exit s1(config)# crypto key generate rsa How many bits in the modulus [512]: 1024 s1(config)# ip ssh version 2 s1(config)# line vty 0 15 s1(config-line)# transport input ssh s1(config-line)# login local Sieci Komputerowe Przełączniki CISCO hasła, Port Monitor, Etherchannel Strona 12

Port Monitor (Port Mirroring) 2018 Port Monitor (Port Mirroring) Port mirroring (w przypadku urządzeń CISCO Port Monitor) jest funkcją, która pozwala na kopiowania danych z danego, konkretnego portu lub grupy portów na inny. Chodzi o to, że dane, które transmitowane są np. z i do portu 1 mogą być kopiowane na np. port 7. Funkcja te może być wykorzystywana w celach diagnostycznych, np. jeśli chcemy analizować ruch sieciowych maszyn w naszej sieci. Wówczas wszystkie dane z portu źródłowego trafiają do naszego komputera dzięki temu możemy je analizować (wykorzystując np. program Wireshark) i szukać przyczyn błędnego działania usług sieciowych. Medal ma oczywiście dwie strony no i port mirroring może również zostać wykorzystany w celach, nazwijmy to mniej przyjaznych. Hacker, który skonfiguruje kopiowanie danych na port, do którego podłączony jest jego komputer będzie miał dostęp do informacji, z jakich korzysta usług sieciowych i na jakie strony WWW wchodzi użytkownik. To w jakim celu zostanie taka funkcja użyta no to już zależy od osób które z niej korzystają. Zakładając, że chcemy aby do naszego komputera (podłączonego do portu 10 przełącznika), na którym zainstalowane mamy oprogramowanie do analizy ruchu sieciowego trafiały dane z komputerów podłączonych do portów 1 i 2, polecenia konfiguracyjne wyglądają następująco: s1> enable s1# conf t s1(config)# monitor session 1 source interface fastethernet 0/1 s1(config)# monitor session 1 source interface fastethernet 0/2 s1(config)# monitor session 1 destination interface fastethernet 0/10 Sieci Komputerowe Przełączniki CISCO hasła, Port Monitor, Etherchannel Strona 13

Port Monitor (Port Mirroring) 2018 Od teraz wszystkie dane, zarówno wychodzące, jak i przychodzące z portów 1 i 2, kopiowane będą na port 10. Jeśli wolelibyśmy aby kopiowane do naszego komputera były dane tylko wychodzące, albo tylko przychodzące z portów 1 i 2 możemy użyć do tego parametrów rx (dane odebrane) oraz tx (dane wysłane). Zakładając, że chcemy aby na nasz komputer kopiowane były dane tylko wychodzące z portu pierwszego i tylko przychodzące na port 2 wydamy następujące polecenia: s1> enable s1# conf t s1(config)# monitor session 1 source interface fastethernet 0/1 tx s1(config)# monitor session 1 source interface fastethernet 0/2 rx s1(config)# monitor session 1 destination interface fastethernet 0/1 0 W przypadku kiedy komputery, z których dane chcemy otrzymywać pracują w jednej sieci VLAN, ale podłączone są do różnych przełączników, tak jak na grafice: zamiast konkretnego interfejsu możemy podać identyfikator sieci VLAN. Wówczas polecenia realizujące taką funkcjonalność będą wyglądać następująco: s1> enable s1# conf t s1(config)# monitor session 1 source vlan 10 s1(config)# monitor session 1 destination interface fastethernet 0/1 Sieci Komputerowe Przełączniki CISCO hasła, Port Monitor, Etherchannel Strona 14

Łączenie portów w logiczny interfejs (LAG) 2018 Łączenie portów w logiczny interfejs (LAG) Wyobraźmy sobie sytuację, w której musimy połączyć ze sobą dwa przełączniki. Żaden problem, wystarczy użyć odpowiedniego przewodu i będzie ok: Co się jednak stanie kiedy łącze ulegnie awarii? No lipa będzie bo urządzenia podłączone zarówno do jednego jak i drugiego przełącznika stracą możliwość wzajemnej komunikacji. Jak zatem zapobiec takiej sytuacji? Istnieje bardzo proste rozwiązanie a mianowicie użycie nadmiarowej ilości połączeń pomiędzy urządzeniami. Dzięki temu awaria jednego przewodu nie spowoduje braku dostępu do sieci dla urządzeń, a dodatkowo zwiększy nam się ogólna przepustowość łącza pomiędzy urządzeniami: Niestety takie rozwiązanie powoduje, że jedno z łączy, przez cały czas pozostaje nieaktywne. Dopiero po awarii jednego, uruchomione zostaje drugie. Dzieje się tak dlatego, że na przełącznikach sieciowych działa protokół STP (ang. Spanning Tree Protocol), którego zadaniem jest zapobieganie pętli ramek, jakie mogę powstać w przypadku użycia nadmiarowej ilości połączeń pomiędzy przełącznikami. Aby można było wykorzystać większą ilość połączeń, możemy albo wyłączyć protokół STP, co jest bardzo ryzykowne, bo może doprowadzić do paraliżu całe sieci, albo możemy Sieci Komputerowe Przełączniki CISCO hasła, Port Monitor, Etherchannel Strona 15

Łączenie portów w logiczny interfejs (LAG) 2018 wykorzystać funkcjonalność LAG (ang. Link Aggregation Port), zwaną w technologii CISCO kanałem ethernetowym (ang. Etherchannel) i połączyć klika fizycznych interfejsów w jeden logiczny. Dzięki czemu załatwimy sobie temat niebezpieczeństwa wystąpienia awarii związanego z wykorzystaniem tylko jednego przewodu łączącego urządzenia, a przy okazji nie będziemy zmuszeni wyłączyć STP na przełącznikach. Konfiguracja takiej funkcjonalności opisanej w standardzie 802.3ad jest specjalnie skomplikowana, dlatego zanim ja zrealizujemy no to kilka słów na temat metod takiego łączenia portów. Do dyspozycji mamy dwie drogi, albo statyczną konfigurację bez użycia protokołów sieciowych, lub też dynamiczną, z wykorzystaniem jednego z dwóch protokołów sieciowych, które taką agregację, takie łączenie umożliwiają. Metoda statyczna ma tę przewagę nad dynamiczną, że nie wykorzystuje do tego żadnych protokołów sieciowych, dzięki temu w naszej sieci nie wysyłane są dodatkowe dane generowane przez te protokoły. W przypadku agregacji dynamicznej, stosuje się protokoły PAgP (ang. Port Aggregation Protocol) oraz LACP (ang. Link Aggregation Control Protocol). Zasadnicza różnica między nimi jest taka, ze ten pierwszy jest własnością CISCO i wspierany jest tylko na urządzeniach tej firmy, chociaż najnowsze urządzenia mogą go już nie obsługiwać, drugi natomiast to standard otwarty, z którego korzystają wszystkie urządzenia, w tym również urządzenia CISCO. Zasadniczo działanie tych protokołów jest zbliżone dlatego decyzja, który wybrać zależy tak naprawdę od tego jakie urządzenia macie w swojej sieci. Jeśli macie sprzęt tylko CISCO to śmiało możecie zastosować protokół PAgP, jeśli w sieci macie mieszankę, albo tylko sprzęt innych marek no to wyboru nie ma i należy użyć protokołu LACP. Tworząc grupę portów należy mieć na uwadze kilka kwestii: porty muszą pracować z tą samą szybkością (nie łączymy ze sobą portów np. 100 Mb/s i 1Gb/s) i w trybie pełnego duplexu czyli muszą potrafić jednocześnie przesyłać i odbierać dane; maksymalnie możemy utworzyć na przełączniku do 6 grup portów, przy czym maksymalna liczba portów w grupie wynosi 8; biorąc pod uwagę algorytm rozdzielający obciążenia na poszczególne porty lepiej tworzyć grupy na które składają się 2, 4, albo 8 portów. Sieci Komputerowe Przełączniki CISCO hasła, Port Monitor, Etherchannel Strona 16

Łączenie portów w logiczny interfejs (LAG) 2018 W tabeli poniżej widać jak procentowo rozkładana jest przepustowość w zależności od liczby portów jakie składają się na cała grupę: Podział ten, który na pierwszy rzut oka może wydawać się nielogiczny, wynika z działania algorytmu, który każdemu z portów przypisuje określoną wartość liczbową, przy czym suma liczb w całym kanale musi wynosić 8. Jeśli przykładowo mamy 3 porty w grupie to pierwszy i drugi port dostaną 3, a że do sumy 8 brakuje liczby dwa no to ten trzeci otrzyma właśnie 2, dlatego też w takim przypadku obciążenie będzie wynosiło po 37,5% na pierwszych dwóch portach i 25% na trzecim. Inny przykład: jeśli w kanale jest pięć portów no to pierwsze 3 porty oznaczone zostaną liczbą 2, a pozostałe dwa porty liczbą 1, bo nie może wystąpić taka sytuacja, iż jeden z portów nie otrzyma żadnej liczby. Wówczas obciążenie dla poszczególnych łączy będzie takie, że po 25% przypadnie na 3 pierwsze porty, a po 12,5% na porty 4 i 5. Statyczna konfiguracja LAG, gdzie utworzona zostaje pierwsza grupa, na którą składać się będą porty 1 i 2 wygląda następująco: s1> enable s1# conf t s1(config)# interface range fastethernet 0/1-2 s1(config-if-range)# channel-group 1 mode on Oczywiście taką konfigurację należy przeprowadzić również na drugim przełączniku. Sieci Komputerowe Przełączniki CISCO hasła, Port Monitor, Etherchannel Strona 17

Łączenie portów w logiczny interfejs (LAG) 2018 Wydając polecenia w trybie uprzywilejowanym show etherchannel oraz show etherchannel summary możemy wyświetlić sobie podsumowanie wykonanych operacji: Teraz konfiguracja dynamiczna z wykorzystaniem protokołu PAgP. Tym razem utworzymy sobie drugą grupę, na którą składać się będą porty 3 i 4: s1> enable s1# conf t s1(config)# interface range fastethernet 0/3-4 s1(config-if-range)# channel-group 2 mode desirable Na koniec konfiguracja dynamiczna z wykorzystaniem protokołu LACP. Tworzymy trzecią grupę, na którą składać się będą porty 5 i 6: s1> enable s1# conf t s1(config)# interface range fastethernet 0/5-6 s1(config-if-range)# channel-group 3 mode active Sieci Komputerowe Przełączniki CISCO hasła, Port Monitor, Etherchannel Strona 18

Łączenie portów w logiczny interfejs (LAG) 2018 Jak widzicie konfiguracja nie jest specjalnie skomplikowana, ogranicza się do dwóch poleceń, pamiętając, że polecenia te należy wykonać na dwóch urządzeniach. Patrząc na to realnie i praktycznie, jeśli macie dostęp do konfiguracji obu urządzeń to tak naprawdę nie ma większego znaczenia, którą metodę wybierzecie. Równie dobrze sprawdzi się konfiguracja statyczna, jak i dynamiczna. Pamiętajcie, że po zagregowaniu łączy, awaria jednego przewodu wchodzącego w skład całej grupy nie powoduje awarii całego kanału ethernetowego. Sieci Komputerowe Przełączniki CISCO hasła, Port Monitor, Etherchannel Strona 19

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres