ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

Imię Nazwisko ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h 1. Zbudować sieć laboratoryjną 2. Podstawowe informacje dotyczące obsługi systemu operacyjnego (Cisco) 3. Wykonać podstawową konfigurację urządzeń 4. Skonfigurować interfejsy urządzeń 5. Zweryfikować konfiguracje i działanie interfejsów 6. Zarządzanie konfiguracjami urządzeń - 1 -

1. Zbudować sieć laboratoryjną Zadanie Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią. Topologia sieci laboratoryjnej 79.96.21.160 / 28 OUTSIDE dmz security-level 50 outside security-level 0 212.191.89.128 / 25 inside security-level 100 172.18.0.0 / 16 10.0.0.0 / 8-2 -

2. Podstawowe informacje dotyczące obsługi systemu operacyjnego (Cisco) Tryby poleceń Użytkownika (user mode) Router> Przejście do trybu: Dostępny bezpośrednio po podłączeniu konsoli. Opuszczenie trybu: Polecenia: exit, logout. Zastosowanie: Dostęp do podstawowych informacji o routerze. Uprzywilejowany (privileged mode) Router# Przejście do trybu: Polecenie enable w trybie użytkownika. Opuszczenie trybu: Polecenia: disable, exit, logout. Zastosowanie: Szczegółowe informacje o routerze, dostęp do trybu konfiguracji. - 3 -

Konfiguracji globalnej (global configuration) Router(config)# Przejście do trybu: Polecenie configure terminal w trybie uprzywilejowanym. Opuszczenie trybu: Polecenia: exit, end, Ctrl+Z. Zastosowanie: Konfiguracja globalnych ustawień router a. Konfiguracji szczegółowej (specific configuration) np.: Router(config-if)# Przejście do trybu: Polecenie zależy od tego co będziemy konfigurować np.: interface fastethernet 0/0 Opuszczenie trybu: Polecenia: exit. Zastosowanie: Konfiguracja szczegółowych ustawień elementów router a. Listowanie komend wybranego trybu poleceń Przejdź do wybranego trybu poleceń (np. trybu uprzywilejowanego). Listowanie dostępnych komend:? Na ekranie wyświetlane są maksymalnie 22 linie jednocześnie. Jeśli linii jest więcej pokaże się znak --More-- Naciśnięcie Enter przesunięcie o jeden wiersz. Naciśniecie spacji przesunięcie o kolejny ekran. Listowanie argumentów wybranego polecenia (przykład dla polecenia clock) Przejście do trybu uprzywilejowanego. Wyświetlenie dostępnych w tym trybie poleceń: Router#? Wyświetlenie dostępnych poleceń rozpoczynające się od znaków cl: Router# cl? Dostępne argumenty polecenia clock: Router# clock? Kolejne argumenty polecenia clock: Router# clock set? Router# clock set 10:30:00? - 4 -

Jeśli użytkownik popełni błąd w składni polecenia, miejsce błędu zostanie oznaczone za pomocą znaku ^ Funkcje edycyjne Ctrl + A Ctrl + E Esc + B Ctrl + F Ctrl + B Esc + F Przejście na początek wiersza poleceń Przejście na koniec wiersza poleceń Jedno słowo do tyłu Jeden znak do przodu Jeden znak do tyłu Jedno słowo do przodu Historia poleceń Ustawianie wielkości bufora poleceń: terminal history size 256 Uwagi: domyślna liczba poleceń to 10, maksymalna liczba poleceń to 256. Wyświetlenie zawartości bufora poleceń: show history Przywoływanie poleceń: Ctrl + P lub (starsze polecenia) Ctrl + N lub (nowsze polecenia) Wyłączanie historii poleceń: no terminal editing Włączanie historii poleceń: terminal editing Rozwijanie poleceń Automatyczne kończenie rozpoczętej komendy lub atrybutu: TAB - 5 -

3. Wykonać podstawową konfigurację urządzeń Zadanie Skonfigurować nazwę urządzenia oraz hasło ograniczające dostęp do trybu uprzywilejowanego zgodnie z tabelą: Urządzenie Nazwa urządzenia Hasło do trybu uprzywilejowanego dowolna dowolne dowolna dowolne dowolna dowolne Materiał pomocniczy Konfigurowanie nazwy urządzenia W celu nadania urządzeniu unikatowej nazwy należy w trybie konfiguracji globalnej wydać polecenie: hostname(config)# hostname nazwa_urzadzenia [edit system] user@switch# set host-name nazwa_urzadzenia - 6 -

Konfigurowanie hasła do trybu uprzywilejowanego (privileged EXEC) Hasła należy skonfigurować przede wszystkim dla trybu uprzywilejowanego. hostname(config)# enable password haslo Uwaga: Hasło nieszyfrowane hostname(config)# enable secret haslo Uwaga: Hasło szyfrowane hostname(config)# enable password haslo Uwaga: Hasło szyfrowane Root password: albo [edit system] user@switch# set root-authentication plain-text-password [edit] user@switch# set system root-authentication plain-textpassword - 7 -

Sprawozdanie Jaka nazwa została nadana urządzeniu? Czy przy wejściu do trybu uprzywilejowanego pojawiło się pytanie o hasło przed jego skonfigurowaniem? Jaka nazwa została nadana urządzeniu? Czy przy wejściu do trybu uprzywilejowanego pojawiło się pytanie o hasło przed jego skonfigurowaniem? Jaka nazwa została nadana urządzeniu? Czy przy wejściu do trybu uprzywilejowanego pojawiło się pytanie o hasło przed jego skonfigurowaniem? 4. Skonfigurować interfejsy urządzeń Zadanie Skonfigurować wybrane interfejsy urządzeń zgodnie z tabelami: Urządzenie VLAN Port (do ASA) Porty (do hostów) VLAN ID: 1 Adres IP: zgodnie z topologią sieci Maska sieci: zgodnie z topologią sieci Brama domyślna: zgodnie z topologią sieci Typ: Ethernet Szybkość: auto Duplex: auto Typ: Ethernet Szybkość: 10Mbit/s Duplex: auto - 8 -

Urządzenie Interfejs (do ASA) Interfejs (do Serwera na OUTSIDE) Typ: Ethernet Adres IP: zgodnie z topologią sieci Maska sieci: zgodnie z topologią sieci Szybkość: auto Duplex: auto Typ: Ethernet Adres IP: zgodnie z topologią sieci Maska sieci: zgodnie z topologią sieci Szybkość: auto Duplex: auto Urządzenie Interfejs (do Switch) Interfejs (do Serwera w dmz) Interfejs (do Routera) Typ: Ethernet Typ: Ethernet Typ: Ethernet Nazwa: inside Nazwa: dmz Nazwa: outside Poziom bezpieczeństwa: 100 Poziom bezpieczeństwa: 50 Poziom bezpieczeństwa: 0 Adres IP: zgodnie z topologią sieci Adres IP: zgodnie z topologią sieci Adres IP: zgodnie z topologią sieci Maska sieci: zgodnie z topologią sieci Maska sieci: zgodnie z topologią sieci Maska sieci: zgodnie z topologią sieci Szybkość: auto Szybkość: auto Szybkość: auto Duplex: auto Duplex: auto Duplex: auto Materiał pomocniczy Konfigurowanie interfejsów Ethernet Każdy interfejs Ethernet musi mieć zdefiniowany adres IP i maskę podsieci, aby mógł przesyłać pakiety IP. Ustawienie adresu IP (potrzebnego tylko do zarządzania np. przez SSH) wykonuje się dla wybranego VLAN (czyli wszystkich portów, które do niego należą). - 9 -

Konfiguracja adresu IP, maski sieci oraz bramy domyślnej dla VLAN: switch(config)# interface VLAN nr_vlan switch(config-if)# ip address adres_ip maska_sieci switch(config)# ip default-gateway adres_ip_bramy Ustawianie parametrów portu przełącznika: switch(config)# interface fastethernet nr_portu switch(config-if)# speed {auto 10 100 switch(config-if)# duplex {auto full half Konfiguracja adresu IP, maski sieci oraz bramy domyślnej dla VLAN: [edit] set interfaces vlan unit nr_vlan family inet address adres_ip/maska_sieci set vlans nazwa_vlan l3-interface nazwa_interfejsu Ustawianie parametrów portu przełącznika: [edit interfaces] set nr_int description opis set nr_int ether-options speed szybkosc set nr_int ether-options link-mode tryb_duplex Przejście do trybu konfigurowania wybranego interfejsu: router(config)# interface fastethernet nr_interfejsu - 10 -

Wprowadzenie adresu interfejsu i maski podsieci: router(config-if)# ip address adres_ip maska_sieci Włączenie interfejsu: router(config-if)# no shutdown Ustawienie opcji dodatkowych: router(config-if)# speed {auto 10 100 router(config-if)# duplex {auto full half Ustawienie opisu interfejsu (nie wpływa na funkcjonowanie routera): router(config-if)# description opis Konfiguracja wybranego interfejsu Ethernet: ASA(config)# interface ethernet nr_interfejsu ASA(config-if)# nameif nazwa_interfejsu Po ustawieniu nazwy na inside automatycznie security-level zostanie ustawione na maksimum czyli 100. ASA(config-if)# security-level wartosc_od_0_do_100 ASA(config-if)# ip address adres_ip maska_sieci - 11 -

ASA(config-if)# speed {auto 10 100 ASA(config-if)# duplex {auto full half ASA(config-if)# no shutdown Przełączenie zapory sieciowej SRX w tryb routera: [edit] delete security set security forwarding-options family mpls mode packetbased Sprawdzenie tryby pracy zapory sieciowej SRX: show security flow status Po każdej zmianie trybu pracy konieczny jest restart urządzenia: request system reboot Konfiguracja wybranego interfejsu Ethernet: [edit interfaces] set nr_int unit nr_unit family inet address IP/maska set nr_int description set nr_int speed set nr_int link-mode Konfiguracja strefy bezpieczeństwa: - 12 -

[edit] security { zones { security-zone nazwa { host-inbound-traffic { system-services { nazwa_usługi; interfaces { ge-x1/y1/z1.k1; ge-x2/y2/z2.k2; Weryfikacja stref bezpieczeństwa: user@srx> show security zones user@srx> show interfaces ge-x1/y1/z1.k1 extensive Konfiguracja polityki bezpieczeństwa: [edit security policies] from-zone zone-name1 to-zone zone-name2 { policy name1 { match { source-address address-name; destination-address address-name; application application-name; then { <action>; policy name2 { match { source-address address-name; - 13 -

then { destination-address address-name; application application-name; <action>; Weryfikacja polityk bezpieczeństwa: user@srx> show security policies? user@srx> show security flow session Sprawozdanie Wymienić oznaczenia interfejsów, które zostały skonfigurowane: Wymienić oznaczenia interfejsów, które zostały skonfigurowane: Wymienić oznaczenia interfejsów, które zostały skonfigurowane: - 14 -

5. Zweryfikować konfiguracje i działanie interfejsów Zadanie Sprawdzić konfiguracje i działanie interfejsów urządzeń sieciowych. Materiał pomocniczy Sprawdzenie konfiguracji interfejsu Polecenie pokazujące konfigurację oraz stan wybranego interfejsu: hostname# show interface <rodzaj i numer interfejsu> Prawidłowe działanie interfejsu XYZ oznacza komunikat: XYZ is up, line protocol is up - 15 -

Sprawdzenie konfiguracji wszystkich interfejsów: hostname# show interface Sprawdzenie konfiguracji wybranego interfejsu (np. fastethernet 0): hostname# show interface fastethernet 0 Sprawdzenie konfiguracji wybranego podinterfejsu (np. fastethernet 0.1): hostname# show interface fastethernet 0.1 [edit interfaces] set show delete Program ping czyli wysłanie komunikatu Echo Request protokołu ICMP do wybranego interfejsu i oczekiwanie na odpowiedź Echo Reply. ping adres_ip_testowanego_interfejsu Jeśli odpowiedź dotrze do nadawcy oznacza to, że interfejsy mogą się komunikować na poziomie warstwy 3 modelu OSI. Sprawozdanie Wynik polecenia show interface rodzaj_i_numer_interfejsu: Czy używane interfejsy są w stanie: is up, line protocol is up? Czy używane interfejsy mają skonfigurowane wszystkie potrzebne dane? Wynik polecenia ping adres_ip_asa: - 16 -

Wynik polecenia show interface rodzaj_i_numer_interfejsu: Czy używane interfejsy są w stanie: is up, line protocol is up? Czy używane interfejsy mają skonfigurowane wszystkie potrzebne dane? Wynik polecenia ping adres_ip_asa: Wynik polecenia show interface rodzaj_i_numer_interfejsu: Czy używane interfejsy są w stanie: is up, line protocol is up? Czy używane interfejsy mają skonfigurowane wszystkie potrzebne dane? Wynik polecenia ping adres_ip_switch: Wynik polecenia ping adres_ip_router: Wynik polecenia ping: o z hosta wewnątrz sieci inside adres interfejsu inside ASA: o z hosta wewnątrz sieci dmz adres interfejsu dmz ASA: o z hosta wewnątrz sieci outside adres interfejsu Routera: o z hosta wewnątrz sieci outside adres interfejsu outside ASA: o z hosta spoza sieci inside adres interfejsu inside ASA: o z hosta spoza sieci dmz adres interfejsu dmz ASA: o z hosta spoza sieci outside adres interfejsu outside ASA: - 17 -

6. Zarządzanie konfiguracjami urządzeń Zadanie Zapisać bieżącą konfigurację każdego urządzenia (Switch, Router, ASA) w pamięci nieulotnej. Zapisać konfigurację każdego urządzenia na serwerze TFTP. Usunąć bieżącą i zapisaną w pamięci nieulotnej konfigurację każdego urządzenia. Przywrócić konfigurację każdego urządzenia z serwera TFTP. Materiał pomocniczy Sprawdzenie konfiguracji bieżącej hostname# show running-config Sprawdzenie konfiguracji startowej (zapisanej w pamięci nieulotnej urządzenia) hostname# show startup-config Zapisywanie konfiguracji Zapisanie konfiguracji w pamięci nieulotnej urządzenia: hostname# copy running-config startup-config Zastąpienie konfiguracji bieżącej konfiguracją startową: hostname# copy startup-config running-config - 18 -

Zapisanie bieżącej konfiguracji na serwerze TFTP: hostname# copy running-config tftp Zapisanie konfiguracji znajdującej się w pamięci nieulotnej na serwerze TFTP: hostname# copy startup-config tftp Przywracanie bieżącej konfiguracji z serwera TFTP: hostname# copy tftp running-config Przywracanie konfiguracji startowej z serwera TFTP: hostname# copy tftp startup-config - 19 -

Kopiowanie pliku z konfiguracją na serwer FTP (z pełnym uwierzytelnianiem): root@host> file copy plik ftp://user@hostname/plik Usuwanie konfiguracji startowej i bieżącej Usuwanie konfiguracji startowej: switch# delete flash:vlan.dat switch# erase startup-config Usuwanie konfiguracji bieżącej: switch# reload Usuwanie konfiguracji startowej: router# erase startup-config Usuwanie konfiguracji bieżącej: router# reload Usuwanie konfiguracji startowej: ASA(config)# write erase Usuwanie konfiguracji bieżącej: ASA# reload - 20 -

Sprawozdanie Czy konfiguracje w pamięci bieżącej i nieulotnej są takie same? Jakie polecenie umożliwia zapisanie konfiguracji bieżącej w pamięci nieulotnej? Co należy zrobić aby przywróć konfigurację z serwera TFTP? Czy przywracanie konfiguracji z serwera TFTP zakończyło się sukcesem? Czy konfiguracje w pamięci bieżącej i nieulotnej są takie same? Jakie polecenie umożliwia zapisanie konfiguracji bieżącej w pamięci nieulotnej? Co należy zrobić aby przywróć konfigurację z serwera TFTP? Czy przywracanie konfiguracji z serwera TFTP zakończyło się sukcesem? Czy konfiguracje w pamięci bieżącej i nieulotnej są takie same? Jakie polecenie umożliwia zapisanie konfiguracji bieżącej w pamięci nieulotnej? Co należy zrobić aby przywróć konfigurację z serwera TFTP? Czy przywracanie konfiguracji z serwera TFTP zakończyło się sukcesem? - 21 -