1. BUDOWA URZĄDZEŃ SIECIOWYCH CISCO Organizacja ISO (International Standards Organization) w latach 80 stworzyła otwarty model odniesienia dla komunikacji w systemach sieciowych, znany pod nazwą modelu OSI (Open Systems Interconection). Założeniem modelu jest podział systemów sieciowych na siedem, współpracujących ze sobą warstw. Model opisuje przepływ danych pomiędzy warstwami, przez co ułatwia on zrozumienie działania oprogramowania komunikacyjnego sieci. W oparciu o model OSI działają różne urządzenia sieciowe takie jak: routery i przełączniki. Routery są urządzeniami pracującymi w trzeciej warstwie modelu ISO/OSI w oparciu o adresację logiczną IP. Pełnią rolę węzła łączącego różne sieci, a proces przesyłania pakietów między sieciami nazywany jest routingiem. Przełączniki (ang. switch) natomiast, działają w warstwie drugiej modelu ISO/OSI w oparciu o adresację fizyczną MAC. Ich zadaniem jest przekazywanie ramek do innych segmentów tej samej sieci. Zarówno routery jak i przełączniki firmy Cisco, mimo realizowania różnych funkcji w infrastrukturze sieciowej, zbudowane są w podobny sposób. Pozwala to na wyodrębnienie następujących elementów ich budowy: jednostki centralnej CPU - odpowiedzialnej za wykonywanie obliczeń i realizowanie funkcji systemowych, pamięci ROM - zawierającej procedury realizujące funkcję pośredniczące pomiędzy sprzętem, a systemem operacyjnym jak i procedury startowe służące do uruchomienia samego systemu operacyjnego, pamięci FLASH dedykowanej do przechowywania systemu operacyjnego oraz innego oprogramowania wykorzystywanego przez urządzenia, pamięci RAM - pełniącej funkcję pamięci podręcznej jak i bufora przechowującego np. tablicę routingu czy tablicę ARP, pamięci NVRAM dedykowanej do przechowywania konfiguracji startowej urządzenia, interfejsów sieciowych dających możliwość przyłączenia się do innych urządzeń celem zbudowania sieci komputerowej.
W każdym urządzeniu firmy Cisco można znaleźć wbudowany port szeregowy RS- 232, nazywany portem konsolowym. Port ten umożliwia połączenie się z urządzeniem celem jego konfiguracji, poprzez specjalny kabel konsolowy, tak jak na rys. 1. Rys. 1. Podłączenie do urządzenia za pomocą kabla konsolowego i terminala. Połączenie komputera z urządzeniem Cisco poprzez port szeregowy przy wykorzystaniu kabla konsolowego wymaga wyboru odpowiedniego portu COM w oprogramowaniu zarządzającym, zwanym terminalem. Parametry połączenia jakie należy ustawić w ramach ustawień terminala to: - prędkość transmisji: 9600 bitów/s, - bity danych: 8, - brak parzystości: N, - bit stopu:1. 1.1 Budowa routerów na przykładzie routerów firmy Cisco serii 2600 W laboratorium wykorzystano routery Cisco serii 2600. Mają one konstrukcję pozwalającą na zamontowanie ich w odpowiedniej 19 szafie serwerowej (ang. rack). Na panelu przednim urządzenia znajdują się trzy diody, jak na rys. 2 [1]. Rys. 2. Panel przedni routera Cisco 2611.
Funkcję poszczególnych diod kontrolnych to: POWER informuje czy urządzenie jest włączone/wyłączone, RPS informuje czy urządzenie posiada zapasowe zasilanie (ang. redundant power system), ACTIVITY informuje czy urządzenie przetwarza jakieś dane [1]. Routery Cisco serii 2600 posiadają wbudowany zasilacz, pozwalający na zasilanie urządzenia poprzez standardowy kabel zasilający IEC 320 C13, taki sam jaki stosowany jest w standardowych komputerach czy monitorach. Na rys. 3 przedstawiono wygląd panelu tylniego routera Cisco 2611 [1]. Rys. 3. Panel tylny routera Cisco 2611, gdzie: 1 miejsce na moduł NM, 2 miejsce na moduł WIC, 3 porty Ethernet, 4 port konsoli, 5 port auxiliary, 6 włącznik zasilania, 7 gniazdo zasilające. Na rys. 3 odpowiednie liczby oznaczają: 1. Miejsce na moduł typu NM (ang. Network Module) rozszerzający możliwości urządzenia o dodatkowe interfejsy wspierające różne technologie. Przykładowym modułem może być NM-4B-S/T udostępniający cztery interfejsy ISDN-BRI lub NM-8T rozszerzający ilość interfejsów urządzenia o osiem portów szeregowych typu Serial. 2. Miejsce na moduł typu WIC (ang. WAN Interface Card) rozszerzający możliwości urządzenia o dodatkowe interfejsy wspierające różne technologie. Przykładem może być moduł WIC-2T udostępniający dwa interfejsy szeregowe typu Serial. 3. Wbudowane porty Ethernet dające możliwość podłączenia urządzenia do przełącznika czy innego urządzenia ze stykiem RJ-45. 4. Port konsoli poprzez, który następuje lokalna konfiguracja urządzenia.
5. Asynchroniczny port auxiliary poprzez, który można konfigurować urządzenie zdalnie z wykorzystaniem modemu. 6. Włącznik zasilania urządzenia. 7. Gniazdo kabla zasilającego. Router Cisco serii 2600 posiada, jak przedstawiono na rys. 3, wbudowane interfejsy Ethernet, dzięki którym można szybko podłączyć urządzenie do sieci z wykorzystaniem styku RJ-45. W przypadku stosowania usług dostępu do sieci publicznej Internet typu Frame-Relay czy ISDN wymagana jest instalacja specjalnych modułów udostępniających odpowiedni styk i wpierających daną technologie. Opisywany router domyślnie sprzedawany jest z 32 MB pamięci RAM oraz 8 MB pamięci FLASH. Istnieje możliwość zwiększenia ilości pamięci RAM maksymalnie do 64 MB oraz 16 MB pamięci FLASH. Zwiększenie ilości pamięci RAM pozytywnie wpływa na liczbę realizowanych równocześnie funkcjonalności i zwiększa maksymalną liczbę przetwarzanych równocześnie pakietów. Wielkość pamięci FLASH ma znaczenie, w przypadku wykorzystania innej wersji systemu operacyjnego; domyślna wielkość może być niewystarczająca do zainstalowania nowej wersji systemu. 1.2 Budowa przełączników na przykładzie przełączników Cisco Catalyst 2950 Przełącznikami wykorzystanymi w laboratorium są przełączniki Cisco Catalyst serii 2950. Mają one konstrukcję pozwalającą na zamontowanie ich w odpowiedniej 19 szafie serwerowej (ang. rack). Na panelu przednim urządzenia znajdują wszystkie dostępne interfejsy sieciowe, przycisk MODE oraz diody kontrolne jak na rys. 4 [2].
Rys. 4. Część panelu przedniego przednika serii Cisco Catalyst 2950. Przycisk MODE wykorzystywany jest w celu weryfikacji trybu pracy interfejsów, sprawdzenia prędkości działania czy stopienia zajętości zasobów przełącznika. Wyświetlenie odpowiednich parametrów następuje po kolejnym wciśnięciu przycisku, co jest symbolizowane podświetleniem odpowiednich diód na panelu kontrolnym. Kolor diód nad odpowiednimi interfejsami wskazuje ich aktualne parametry. Funkcję poszczególnych diód kontrolnych to: SYSTEM informuje czy urządzenie jest włączone/wyłączone, RPS informuje czy urządzenie posiada zapasowe zasilanie (ang. Redundant Power System), STAT informuje czy dany port jest aktywny/nieaktywny, UTIL stopień obciążenia urządzenia. Obrazowane jest to poprzez podświetlenie odpowiedniej ilości diod nad interfejsami (24 zaświecone diody oznaczają 100% zajętości zasobów), DUPLEX tryb pracy interfejsu (half kolor pomarańczowy, full kolor zielony). Tryb pracy konkretnego interfejsu reprezentuje dioda umieszczona nad danym portem, SPEED prędkość interfejsu (10 Mbps kolor pomarańczowy, 100 Mbps kolor zielony). Szybkość pracy konkretnego interfejsu reprezentuje dioda umieszczona nad danym portem [2]. Na rys. 5 przedstawiono cały panel przedni przełącznika Cisco Catalyst serii 2950. Rys. 5. Panel przedni przełącznika serii Cisco Catalyst 2950, gdzie: 1 interfejsy Ethernet/FastEthernet, 2 interfejsy Ethernet/FastEthernet/GigabitEthernet. Na rys. 5 odpowiednie cyfry oznaczają:
1. Wbudowane interfejsy sieciowe typu Ethernet/FastEthernet (10Base-T/100Base- TX) pozwalające na podłączenie urządzeń za pomocą kabla UTP/STP i styku RJ- 45, 2. Wbudowane interfejsy sieciowe typu Ethernet/FastEthernet/Gigabitethernet (10Base-T/100Base-TX/1000Base-T) stosowane do podłączenia innych przełączników. Opisywany przełącznik posiadają wbudowany zasilacz, pozwalający na zasilanie urządzenia poprzez standardowy kabel zasilający IEC 320 C13, taki sam jaki stosowany jest w standardowych komputerach czy monitorach. Na panelu tylnim znajduje się gniazdo kabla zasilającego oraz specjalne miejsce na podłączenie zapasowego zasilania. Przełącznik Cisco Catalyst 2950 domyślnie sprzedawany jest z 20 MB pamięci RAM oraz 8 MB pamięci FLASH. Istnieje możliwość zwiększenia ilości pamięci RAM maksymalnie do 32 MB RAM, co może podnieść sprawność przetwarzania większej liczby ramek jednocześnie. Nie ma możliwości zwiększenie wielkości pamięci FLASH.
2. SYSTEM CISCO IOS Kilka lat temu każde z urządzeń Cisco pełniące inną funkcję w sieci posiadało swój system, za pomocą którego możliwe było zarządzanie urządzeniem. Przełączniki posiadały system CatOS, routery IOS, a zapory ogniowe PIX OS. Obecnie, zarówno system wykorzystywany przez większość przełączników jak i routerów to ten sam system IOS (ang. Internetwork Operating System). Firma Cisco doprowadziła do ujednolicenia pewnych elementów konfiguracyjnych, co w znacznym stopniu ułatwia administratorom dotychczas konfigurującym jeden typ urządzeń, na szybką naukę administracji innymi typami urządzeń. Podstawowa konfiguracja różnych modeli jest identyczna, różnica polega na konfiguracji poszczególnych funkcjonalności obsługiwanych przez dany typ urządzenia. Kupując urządzenie Cisco, użytkownik otrzymuje zainstalowany system, który, jak wspomniano wcześniej, znajduje się w pamięci FLASH. Z reguły jest to pojedynczy plik z rozszerzeniem *.bin. Mnogość różnych wersji systemów dla danego urządzenia (szczególnie routera) może przysporzyć sporo problemów początkującemu administratorowi, którego zadaniem jest dobór odpowiedniej wersji, tak aby spełniała ona oczekiwania i dostarczała wszystkich potrzebnych mechanizmów dla danej struktury sieciowej. Samo nazewnictwo obrazów systemowych może wzbudzać niepewność, czy aby na pewno mamy do czynienia z odpowiednia wersję systemu. Temat nazewnictwa jest bardzo obszerny i zostanie tutaj jedynie nakreślony. Rys. 6 przedstawia przykładową nazwę obrazu systemu IOS dla routera Cisco serii 2600 [3]. Rys. 6. Przykładowa nazwa pliku z obrazem Cisco IOS dla routerów serii 2600, gdzie: 1 seria urządzeń, 2 oznaczenie funkcjonalności, 3 - numer głównej serii systemu, 4 numer podserii systemu. W nazwie każdego pliku z obrazem systemu można wyróżnić kilka poszczególnych elementów oznaczonych na rys. 6 liczbami od 1 do 4. I tak:
1. Wskazuje dla jakiej serii urządzeń przeznaczony jest dany obraz systemu, 2. Poszczególne litery oznaczają zaimplementowaną w systemie funkcjonalność, np. k9 oznacza wsparcie szyfrowania algorytmem 3DES/AES, 3. Oznacza numer głównej serii systemu, 4. Oznacza numer podserii danego systemu [3]. W ostatnim czasie firma Cisco zmieniła politykę nazewnictwa, aby uprościć wybór i zarządzanie obrazami systemowymi. Zmianie uległa część druga nazwy obrazu, która zawiera listę wspieranych przez system funkcjonalności. Mało czytelne do tej pory litery zastąpione zostały nazwami bardziej przejrzystymi np. IP Base, IP Voice, SP Services, itp. Instalacja nowego systemu z reguły ogranicza się do załadowania pojedynczego pliku do pamięci FLASH urządzenia. Zarządzanie obrazami omówione zostanie w dalszej części pracy. 2.1 Linia komend CLI oraz dostępne tryby pracy Linia komend CLI (ang. Command Line Interface) jest elementem składowym systemu IOS, poprzez który odbywa się konfiguracja urządzenia. Składa się ona z czterech trybów pracy: tryb pracy początkowej (ang. setup mode) pozwala wstępnie skonfigurować urządzenie poprzez szereg zapytań dotyczących niektórych elementów konfiguracji. Tryb ten pojawia się zawsze podczas uruchomienia urządzenia, które nie posiada żadnej konfiguracji, tryb pracy użytkownika (ang. user mode) posiada ograniczony zestaw komend umożliwiających weryfikację niektórych parametrów urządzenia czy wykonywanie podstawowych testów bez możliwości modyfikacji konfiguracji, która miałaby wpływ na jego funkcjonowanie. Tryb użytkownika charakteryzuje znak zachęty >, tryb pracy uprzywilejowanej (ang. priviledge mode) zawiera najwyższe uprawnienia umożliwiające ustawianie każdego parametru systemowego.
Umożliwia wykonywanie szczegółowej diagnostyki urządzenia, testowania operacji systemu IOS oraz umożliwia dostęp do konfiguracji globalnej i innych trybów od niej zależnych. Tryb użytkownika charakteryzuje znak zachęty #, tryb konfiguracji globalnej (ang. config mode) daje możliwość konfiguracji urządzenia i jest punktem wyjścia do innych dedykowanych trybów konfiguracyjnych [4]. Konfiguracja urządzeń poprzez port szeregowy polega na wpisywaniu szeregu następujących po sobie poleceń. Wszystkie polecenia w niniejszej pracy zapisywane są zgodnie z przedstawionymi poniżej zasadami: nawiasy klamrowe ({}) zawierają kilka elementów, z których należy wybrać jeden, pionowa kreska ( ) służy jako separator dostępnych w nawiasach elementów, nawiasy kwadratowe ([]) zawierają jeden bądź kilka opcjonalnych elementów, z których można wybrać jeden, tekst pogrubiony (B) oznacza część polecenia, która jest stała i musi być wpisana dokładnie tak samo, tekst pisany kursywą (B) oznacza, iż dana część polecenia jest zmienną przyjmującą różne parametry. Przykładowa komenda a b {c d} e [f g] może być wykorzystana na kilka sposobów, w zależności od potrzeb konfigurującego urządzenie, np. a b c e lub a b d lub a b d e g, gdzie e jest zmienną. Na przykładzie 1 przedstawiono sposoby poruszania się między poszczególnymi trybami linii komend CLI [4]. Przykład 1. Router con0 is now available Press RETURN to get started. Router> Router> enable Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z. Router(config)#exit *Feb 14 12:10:54.915: %SYS-5-CONFIG_I: Configured from console by console Router# disable Router > exit Router con0 is now available Press RETURN to get started. Polecenia użyte w przykładzie 1 zostały zestawione w tabeli 1. Tabela 1. Wybrane polecenia Cisco IOS użyte w przykładzie 1. > enable # configure terminal (config)# exit # disable Przejście z trybu użytkownika w tryb uprzywilejowany. Przejście z trybu uprzywilejowanego w tryb konfiguracji globalnej. Powrót do trybu uprzywilejowanego. Polecenie to zawsze cofa o jeden krok wstecz. Powrót z trybu uprzywilejowanego w tryb użytkownika. 2.2 Typy konfiguracji urządzeń Cisco Każdy przełącznik czy router posiada dwa typy konfiguracji: konfiguracja startowa (ang. startup-config) wykorzystywana przy uruchamianiu urządzenia celem wprowadzenia ustawień do systemu i ładowana do pamięci RAM, gdzie rezyduje jako konfiguracja bieżąca, konfiguracja bieżąca (ang. running-config) konfiguracja wykorzystywana przez urządzenie po poprawnym uruchomieniu i załadowaniu konfiguracji startowej. Wszystkie zmiany w konfiguracji dodawane są automatycznie do konfiguracji bieżącej, która może zostać zapisana (skopiowana) do konfiguracji startowej urządzenia, tak aby wprowadzone zmiany były zapamiętane przy kolejnym uruchomieniu urządzenia [4].
Obie konfiguracje zawierają prawie wszystkie polecenia, które wprowadza administrator. Zdarza się, iż pomimo wpisania niektórych poleceń w linii komend, nie są one widoczne w konfiguracji. Z reguły jest to spowodowane tym, że niektóre polecenia są uruchomiane domyślnie i dopiero po ich modyfikacji uwidaczniają się w konfiguracji urządzenia. Ważnym elementem konfiguracyjnym jest weryfikacja poprawności konfiguracji oraz jej zapisywanie. Należy pamiętać, że urządzenie będzie poprawnie pracowało pomimo wykasowania konfiguracji startowej urządzenia, ponieważ przy starcie urządzenia jest ona kopiowana do pamięci RAM jako konfiguracja bieżąca, a wpisywane polecenia umieszczane są w konfiguracji bieżącej. Należy pamiętać, że nie należy wyłączać zasilania urządzenia bez uprzedniego zapisania konfiguracji, ponieważ ponowne uruchomienie powoduje wykasowanie zawartości pamięci RAM i tym samym konfiguracji bieżącej. Na przykładzie 2 pokazano sposób na wyświetlenie konfiguracji bieżącej i startowej urządzenia oraz zapisanie konfiguracji bieżącej [4]. Przykład 2. Router# show running-config Building configuration... Current configuration : 2565 bytes! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption Router# show startup-config startup-config is not present Router# copy running-config startup-config Destination filename [startup-config]? <Enter> Building configuration... [OK] Router# show startup-config Using 1232 out of 196600 bytes
! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption... Na przykładzie 3 przedstawiono polenienia umożliwiające weryfikację oraz wykasowanie konfiguracji startowej [4]. Przykład 3. Router# show startup-config Using 1232 out of 196600 bytes! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption Router# erase startup-config Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] <Enter> [OK] Erase of nvram: complete Router# show startup-config startup-config is not present Router# Polecenia użyte w powyższych przykładach zestawione zostały w tabeli 2. Tabela 2. Wybrane polecenia Cisco IOS użyte w przykładach 2,3. # show running-config Wyświetlenie konfiguracji bieżącej urządzenia. # show startup-config Wyświetlenie konfiguracji startowej urządzenia. # erase startup-config Wykasowanie konfiguracji startowej urządzenia. # copy running-config startup-config Zapisanie konfiguracji.
2.3 System pomocy kontekstowej Bardzo duża liczba poleceń w linii komend CLI, obecnie szacowana na kilkanaście tysięcy, powoduje, że zapamiętanie ich jest praktycznie niemożliwe. Kolejne wersje systemów mogą wprowadzać drobne zmiany w składniach pewnych poleceń co może utrudniać konfigurację urządzenia z wykorzystaniem wyuczonych komend. Rozwiązaniem ułatwiającym pracę z systemem IOS jest rozbudowany system pomocy, który opiera się na wykorzystaniu znaku?. Jest on dostępny w każdym z trybów urządzenia i zawiera kontekstowy opis poleceń i ich parametrów. Wspomniany znak zapytania może zostać użyty w dwojaki sposób: bez spacji - pomaga dokończyć komendę poprzez wyświetlenie wszystkich poleceń zaczynających się na określony ciąg znaków, po którym postawiono znak? (przykład 4). Przykład 4. rt1# rt1# di? dir disable disconnect rt1# dis? disable disconnect rt1#disa? disable po spacji pomaga dobrać parametry polecenia lub pokazuje dalszą cześć, którą należy wpisać, poprzez wyświetlenie dostępnych dla danego polecenia opcji (przykład 5) [4]. Przykład 5. rt1# show? aaa Show AAA values access-expression List access expression
rt1# show aaa? attributes Show attributes supported by AAA subsystem cache Show contents of AAA caches rt1# show aaa attributes? protocol Choose protocol(s) to be included rt1# show aaa attributes protocol? radius Show RADIUS equivalent attributes rt1#show aaa attributes protocol radius? Output modifiers <cr> 2.4 Edycja poleceń w linii komend Konfiguracja urządzenia poprzez linię komend CLI wymaga wpisywania dużej ilości znaków oraz ich ewentualną edycję. Poniżej zestawiono najczęściej wykorzystywane skróty klawiszowe, które pomagają zoptymalizować pracę w linii komend. przesuwanie kursora: lub Ctl-B znak w lewo, lub Ctl-F znak w prawo, Ctrl-A do początku linii, Ctrl-E do końca linii. Kasowanie: Ctrl-D - znak pod kursorem, Ctrl-U - do początku linii, Ctrl-K - do końca linii, Ctrl-W - słowo z lewej, Ctrl-Y - cofnij kasowanie. historia poleceń: lub Ctrl-P poprzednie, lub Ctrl-N następne. Przerwanie: Esc lub (Ctrl+Shift+6) lub (Ctrl+C).
W przypadku gdy na ekranie pojawi się zapis --More-- oznacza to, że istnieją informacje, które nie zostały jeszcze wyświetlone na ekranie. Wciśniecie klawisza Enter pozwala wyświetlić resztę oczekującego na wyświetlenie tekstu po jednej linijce. Wykorzystując klawisz Spacja wyświetlane jest od razu 20 linii (domyślnie). Przerwanie wyświetlania następuje po naciśnięciu klawisza Q [4]. Częstym przypadkiem utrudniającym konfigurację urządzenia jest pojawianie się na ekranie wiadomości systemowych informujących o jakimś zdarzeniu. Informacje te pojawiające się w trakcie pisania polecenia uniemożliwiają zweryfikowanie poprawności komendy - jest ona nieczytelna. Wykorzystanie kombinacji klawiszy (Ctrl+R) lub (Ctrl+L) powoduje, że wpisywane polecenie pojawia się w nowej linii. Wykorzystanie kombinacji klawiszy (Ctrl+R) pokazuje przykład 6 [4]. Przykład 6. Router# show run *Feb 26 14:32:59.239: %SYS-5-CONFIG_I: Configured from console by consoleningconfig <Ctrl+R> Router# show runninig-config Istotną cechą linii komend CLI jest możliwość wpisywania tylko części poleceń oraz dokańczanie poleceń poprzez wykorzystanie klawisza tabulacji. Aby polecenie zostało zaakceptowane musi zawierać znaki, które nie zawierają się w innym poleceniu część polecenia musi być unikatowa. Zasada ta dotyczy zarówno poleceń wpisywanych częściowo jak i poleceń dokańczanych klawiszem tabulacji. Poniżej przykład 7, pokazujący wpisywanie tylko części poleceń jak i wykorzystanie klawisza tabulacji [4]. Przykład 7. Router> en Router# configure t Router(config)# exit Router# conf term Router(config)# exit Router# conf t <TAB>
Router# conf terminal Router(config)# Kasowanie większości wpisanych i zatwierdzonych poleceń następuje poprzez ich negację z wykorzystaniem słowa no. Przykład 8 przedstawia zmianę nazwy urządzenia i przywrócenie nazwy domyślnej [4]: Przykład 8. Router# configure terminal Router(config)# hostname rt1 rt1(config)# no hostname rt1 Router(config)# Polecenia użyte w powyższych przykładach zestawione zostały w tabeli 3. Tabela 3. Wybrane polecenia Cisco IOS użyte w przykładach 6,7,8. (config)# hostname nazwa Konfiguracja nazwy urządzenia. nazwa dowolny ciąg znaków bez spacji. 2.5 Zabezpieczenia dostępu do urządzenia Podstawowym zadaniem konfiguracyjnym jest zabezpieczenie dostępu do urządzenia celem jego ochrony przed dostępem osób trzecich. Zabezpieczenie może dotyczyć ograniczenia dostępu do urządzenia poprzez port konsoli, dostęp zdalny czy uzyskanie dostępu do trybu uprzywilejowanego. Realizowane jest to z reguły poprzez konfigurację haseł, wykorzystanie architektury AAA (ang. Authentication, Authorization, Accounting) z protokołem RADIUS/TACACS+ czy poprzez wskazanie adresów, z których można zarządzać urządzeniem poprzez zdalny dostęp. W niniejszej pracy przedstawiony został sposób ograniczenia dostępu do urządzenia poprzez konfigurację haseł dostępowych. Celem ograniczenia dostępu do portu konsoli należy zdefiniować hasło do linii konsoli
i włączyć mechanizm uwierzytelniający. Przykład 9 pokazuje sposób konfiguracji takiego ograniczenia [5]. Przykład 9. Router> enable Router# configure terminal Router(config)# line console 0 Router(config-line)# password tajne Router(config-line)# login Router(config-line)# end Router# disable Router> exit Router con0 is now available Press RETURN to get started. User Access Verification Password: tajne Router> Wpisywanie pojedynczego hasła celem dostępu do konsoli może być niewystarczającym sposobem zabezpieczenia, z uwagi na to, że osoby trzecie mogą wykorzystać metody słownikowe do jego złamania. Istnieje możliwość wykorzystania lokalnej bazy użytkowników, co spowoduje iż w momencie podłączenia do urządzenia poprzez port konsoli konieczne będzie podanie nazwy użytkownika i hasła. Poniżej przykład 10, pokazujący utworzenie użytkownika cisco z hasłem laboratorium i wykorzystanie go przy uwierzytelnianiu dostępu poprzez konsolę [5]. Przykład 10. Router(config)# username cisco secret laboratorium Router(config)# line console 0 Router(config-line)# login local Router(config-line)# end Router# disable Router>exit
Router con0 is now available Press RETURN to get started. User Access Verification Username: cisco Password: laboratorium Router> Aby ograniczyć dostęp do trybu uprzywilejowanego z wykorzystaniem hasła należy określić jeden z dwóch dostępnych typów haseł: enable password hasło domyślnie zapisywane w konfiguracji bez szyfrowania. Pozwala na jego odczytanie poprzez osoby trzecie w przypadku posiadania konfiguracji urządzenia. Istnieje możliwość włączenia mechanizmu, który szyfruje ten typ haseł, jednak algorytm szyfrujący jest łatwy do złamania. Ogólna dostępność programów deszyfrujących i łatwość złamania zaszyfrowanego hasła powoduje, że jest ono bardzo rzadko stosowane. enable secret - hasło domyślnie zapisywane w konfiguracji jako hasło szyfrowane z wykorzystaniem funkcji mieszającej MD5. Nie pozwala na jego odczytanie poprzez osoby trzecie nawet w przypadku posiadania konfiguracji urządzenia. Hasło nie jest możliwe do odczytania poprzez stosowanie różnych programów deszyfrujących. Obecnie zalecane zamiast starszego enable password [6]. Na przykładzie 11 pokazano sposób konfiguracji hasła enable password i enable secret. W momencie konfiguracji hasła enable secret, hasło enable password przestaje działać.[6] Przykład 11. Router(config)# enable password cisco Router(config)# exit Router# disable
Router> enable Password: cisco Router# configure terminal Router(config)# enable secret cisco123 Router(config)# exit Router# disable Router> enable Password:cisco Password: cisco123 Router# Polecenia użyte w powyższych przykładach zestawione zostały w tabeli 4. Tabela 4. Wybrane polecenia Cisco IOS użyte w przykładach 9, 10 i 11. (config)# line console 0 (config-line)# password hasło (config-line)# login (config-line)# login local (config)# username user secret hasło (config)# enable password hasło (config)# enable secret hasło (config-line)# end Przejście do trybu konfiguracji linii konsoli. Definicja hasła dla linii konsoli. hasło dowolny ciąg znaków. Włączenie mechanizmu uwierzytelniającego. (odpytanie o hasło). Włączenie mechanizmu uwierzytelniającego z wykorzystaniem lokalnej bazy użytkowników (odpytanie o użytkownika i hasło). Utworzenie pary użytkownika i hasła. user nazwa użytkownika. hasło hasło dla danego użytkownika. Konfiguracja hasła jawnego. Konfiguracja hasła szyfrowanego automatycznie. Powrót z dowolnego trybu konfiguracyjnego do trybu uprzywilejowanego. 2.6 Podstawowe polecenia linii komend W tym podrozdziale przedstawiono podstawowe, najczęściej stosowane przez administratorów polecenia linii komend. Nie zostały zawarte tu polecenia konfiguracyjne
poszczególnych mechanizmów urządzenia, które umieszczone zostały w kolejnych rozdziałach i podrozdziałach. Wyświetlenie podstawowych informacji na temat urządzenia następuje po wydaniu polecenia show version w trybie konfiguracji globalnej. Poniżej przykład 12 pokazujący weryfikację podstawowych informacji dla routera Cisco 2611 [7]. Przykład 12. Router# show version Cisco Internetwork Operating System Software (1) IOS (tm) C2600 Software (C2600-IK9O3S3-M), Version 12.3(6a), RELEASE SOFTWARE (fc4) Copyright (c) 1986-2004 by cisco Systems, Inc. Compiled Fri 02-Apr-04 19:17 by kellythw Image text-base: 0x80008098, data-base: 0x8199A210 (2) ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1) (3) Router uptime is 3 hours, 16 minutes System returned to ROM by power-on (4) System image file is "flash:c2600-ik9o3s3-mz.123-6a.bin" (5) This product contains cryptographic features and is subject to United States (6) cisco 2611 (MPC860) processor (revision 0x203) with 61440K/4096K bytes of memory Processor board ID JAD04420E0K (4137757802) M860 processor: part number 0, mask 49 Bridging software. X.25 software, Version 3.0.0. (7) 2 Ethernet/IEEE 802.3 interface(s) (7) 2 Serial(sync/async) network interface(s) (7) 1 ISDN Basic Rate interface(s) (8) 32K bytes of non-volatile configuration memory. (9) 16384K bytes of processor board System flash (Read/Write) (10) Configuration register is 0x2142 Router#
W zależności od urządzenia, zainstalowanych modułów i stosowanego oprogramowania powyższy wynik polecenia show version może być inny. Na przykładzie 12 odpowiednimi cyframi oznaczono: (1) Informacje o wersji uruchomionego systemu IOS, (2) Informacje o wersji oprogramowania znajdującego się pamięci ROM, (3) Czas jaki upłynął od uruchomienia urządzenia, (4) Nazwę pliku z systemem operacyjnym, (5) Informacje licencyjne dotyczące urządzenia i zainstalowanego oprogramowania, (6) Informacje na temat modelu urządzenia i ilości zainstalowanej pamięci RAM, (7) Zainstalowane interfejsy, (8) Wielkość pamięci NVRAM, (9) Wielkość pamięci FLASH, (10) Wartość rejestru systemowego. Istotnym elementem konfiguracji i pracy urządzeń aktywnych jest dostosowanie oraz utrzymanie prawidłowego czasu i daty systemowej. Czas systemowy wykorzystywany jest przez szereg mechanizmów związanych z funkcjonowaniem urządzenia, jak na przykład: znaczniki czasowe dla systemów raportowania zdarzeń (ang. syslog) czy przez listy dostępu oparte o kontrolę czasu. Poniżej przykład 13, pokazujący sposób konfiguracji i weryfikacji czasu i daty systemowej [7]. Przykład 13. Router# show clock *00:00:47.685 UTC Mon Mar 1 1993 Router# clock set 10:30:00 10 Feb 2008 Router# show clock 10:30:03.609 UTC Sun Feb 10 2008 W wielu przypadkach istnieje konieczność ponownego uruchomienia urządzenia, celem wprowadzenia zmian konfiguracyjnych. Można to zrealizować poprzez wyłączenie zasilania urządzenia i jego ponowne uruchomienie lub z wykorzystaniem dedykowanego
do tego celu polecenia. Polecenie wraz z określonymi parametrami jest o wiele bardziej praktyczne. Pozwala na uruchomienie urządzenia o określonej godzinie lub po upływie określonego czasu. Poniżej przykład 14 ilustrujący ustawienie programowego przeładowania urządzenia po 10 minutach, weryfikację czasu pozostałego do ponownego uruchomienia oraz anulowanie zaplanowanej operacji [7]. Przykład 14. Router# reload in 10 Reload scheduled in 10 minutes by console Proceed with reload? [confirm] <Enter> Router# Router# show reload Router# reload cancel *** *** --- SHUTDOWN ABORTED --- *** Router# Polecenia użyte w powyższych przykładach zestawione zostały w tabeli 5. Tabela 5. Wybrane polecenia Cisco IOS użyte w przykładach 12-14. Ustawienie czasu i daty systemowej. gg:mm:ss godzina:minuta:sekundy. dzień dzień w postaci dziesiętnej, np. 10 # clock set gg:mm:ss dzien miesiac rok miesiąc nazwa miesiąca w języku angielskim. rok rok w postaci dziesiętnej, np. 2008 # show clock Wyświetlenie czasu i daty systemowej. Programowe przeładowanie urządzenia po określonym czasie. # reload in czas czas mmm lub hhh:mm (m - minuta, h - godzina) Weryfikacji czasu pozostałego do przeładowania # show reload urządzenia. # reload cancel Anulowanie zaplanowanej operacji przeładowania
urządzenia. 2.7 Dostęp zdalny z wykorzystaniem protokołu Telnet i SSH Oprócz konfiguracji urządzenia poprzez konsolę istnieje możliwość konfiguracji zdalnej. Najczęściej wykorzystywanymi protokołami zdalnego dostępu są Telnet oraz SSH. Umożliwiają one łączenie się i wydawanie poleceń tak samo jak w przypadku bezpośredniego dostępu poprzez konsolę urządzenia. Znaki wpisywane przez użytkownika przesyłane są poprzez sieć do odległego routera lub przełącznika, a przesyłane w odwrotną stronę odpowiedzi wyświetlane są na ekranie monitora. Telnet jest jednym ze starszych protokołów internetowych. Stworzono go z myślą o łatwym dostępie do baz danych, bibliotek i dokumentów zgromadzonych na serwerach w początkowych latach rozwoju Internetu. Sesje protokołu Telnet zawsze przesyłają hasła tekstem otwartym, zatem mogą one zostać przechwycone przez intruza, bez względu na zastosowany poziom szyfrowania w pliku konfiguracyjnym. Protokół SSH (Secure Shell) powstał jako rozwinięcie usługi Telnet. Funkcjonuje w architekturze klient-serwer i wykorzystywany jest do bezpiecznego terminalowego łączenia się ze zdalnymi urządzeniami. Bezpieczeństwo transmisji zapewnione jest poprzez szyfrowanie przesyłanych danych oraz różne metody identyfikacji użytkownika [8]. Ze względu na bezpieczeństwo, konfiguracja z wykorzystaniem zdalnego terminala Telnet wymaga konfiguracji hasła od strony routera lub przełącznika. Możliwe jest także wykorzystanie lokalnej bazy użytkowników, co podnosi bezpieczeństwo systemu w przypadku ataków metodą słownikową. Konfiguracja z wykorzystaniem protokołu SSH wymaga posiadania konta użytkownika i hasła, co wymusza konfigurację lokalnej bazy użytkowników po stronie urządzenia. Wykorzystanie protokołu SSH wymaga posiadania obrazu systemu IOS wspierającego szyfrowanie danych, dlatego w niniejszej pracy konfiguracja tego protokołu zostanie pominięta. Na rys. 7 przedstawiono połączenie zdalne do routera o adresie 83.12.24.100 i weryfikację jego hasła dostępowego.
Rys. 7. Podłączenie zdalne do urządzenia za pomocą protokołu Telnet. Konfiguracja routera czy przełącznika dla usługi Telnet oprócz zdefiniowania hasła wymaga włączenia mechanizmu uwierzytelniania dla linii VTY (ang. Virtual Terminal Lines), które reprezentują sesje zdalnych połączeń. W zależności od modelu urządzenia i wykorzystywanego systemu IOS ilość linii może być różna. Routery Cisco serii 2600 domyślnie mają cztery linie VTY (numery od 0 do 4) co pozwala na równoczesne połączenie pięciu osób. Maksymalna liczba linii VTY dla tego modelu urządzenia wynosi 16 (numery od 0 do 15) [5]. Przykład 15 pokazuje metodę konfiguracji dostępu zdalnego do urządzenia z wykorzystaniem hasła tajne. Przykład 15. Router(config)# line vty 0 4 Router(config-line)# password tajne Router(config-line)# login Kolejny przykład, przykład 16, pokazuje jak utworzyć użytkownika cisco z hasłem tajne i wykorzystać go przy uwierzytelnianiu poprzez dostęp zdalny [5]. Przykład 16. Router(config)# username cisco secret tajne Router(config)# line vty 0 4 Router(config-line)# password tajne Router(config-line)# login local
Routery oraz przełączniki Cisco posiadają wbudowaną usługę klienta telnet, co umożliwia lokalne wywoływanie połączeń zdalnych do innych urządzeń. Usługa wywoływana jest z trybu użytkownika lub uprzywilejowanego. Przykład 17 przedstawia wykorzystanie wbudowanej usługi telnet celem podłączenia do innego urządzenia. Przykład 17. Router# telnet 10.1.1.1 User Access Verification Password: cisco123 Switch> Sprawdzenie kto jest podłączony do urządzenia umożliwia polecenie show users. Weryfikację nawiązanych połączeń zdalnych umożliwia polecenie show session. Przykład 18 pokazuje nawiązanie połączenia zdalnego i jego weryfikację. Przykład 18. Router# telnet 10.1.1.1 Router# show sessions Conn Host Address Byte Idle Conn Name * 1 10.1.1.1 10.1.1.1 0 0 10.1.1.1 Na przykładzie 19 pokazano sposób sprawdzenia czy do urządzenia podłączeni są użytkownicy zdalni. Przykład 19. Switch# show users Line User Host(s) Idle Location vty 0 idle 00:00:00 10.1.1.10
Polecenia użyte w powyższych przykładach zestawione zostały w tabeli 6. Tabela 6. Wybrane polecenia Cisco IOS użyte w przykładach 15-19. (config)# line vty start [end] (config-line)# password hasło (config-line)# login (config-line)# login local (config)# username user secret hasło # telnet ip_address Przejście do trybu konfiguracji linii VTY reprezentujących linie zdanych połączeń. start numer początkowy linii. end numer końcowy linii. Wpisanie pojedynczego numeru konfiguruje jedna linię. Dwie cyfry oznaczają, iż konfigurowany będzie zakres linii. Definicja hasła dla linii VTY. hasło dowolny ciąg znaków. Włączenie mechanizmu uwierzytelniającego. (odpytanie o hasło). Włączenie mechanizmu uwierzytelniającego z wykorzystaniem lokalnej bazy użytkowników (odpytanie o użytkownika i hasło). Utworzenie pary użytkownika i hasła. user nazwa użytkownika. hasło hasło dla danego użytkownika. Wykorzystanie usługi telnet do nawiązania połączenia zdalnego do innego urządzenia. ip_address adres IP zdalnego urządzenia. 2.8 Zarządzanie konfiguracją oraz obrazami IOS Jednym z istotnych elementów związanych z utrzymaniem poprawnego działania sieci jest wykonywanie kopii zapasowych systemu IOS oraz konfiguracji urządzeń. Często wymagana jest także umiejętność potrzebna do zainstalowania innego obrazu systemu IOS czy przywrócenia zarchiwizowanej wcześniej konfiguracji. Operacje te mogą być zrealizowane na wiele sposobów z wykorzystaniem różnych protokołów do transmisji plików jak np. FTP. Bardzo często wykorzystywanym sposobem odtworzenia konfiguracji jest wklejenie zawartości zarchiwizowanego pliku tekstowego do konsoli w
trybie konfiguracyjnym (config)#. Innym sposobem jest wykorzystanie protokołu TFTP, który umożliwia pobranie konfiguracji z pliku przechowywanego na serwerze TFTP, jak ilustruje rys. 8. W rozwiązaniu tym router lub przełącznik pełni rolę klienta TFTP. W niniejszym podrozdziale przedstawiona zostanie metoda archiwizacji wykorzystująca protokół TFTP. Rys. 8. Archiwizacja z wykorzystaniem protokołu TFTP. Przykład 20 przedstawia sposób na wykonanie kopii systemu IOS oraz konfiguracji startowej urządzenia, na serwer TFTP o adresie 10.1.1.1. Warunkiem poprawnego wykonania operacji jest dostępność serwera TFTP [3]. Przykład 20. Router# copy flash: tftp: Source filename [ ]? c2600-ik9o3s3-mz.123-6a.bin Address or name of remote host []? 10.1.1.1 Destination filename [c2600-ik9o3s3-mz.123-6a.bin]? <Enter>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 6833168 bytes copied in 138.410 secs (49369 bytes/sec) Router# Routerr# copy startup-config tftp: Address or name of remote host []? 10.1.1.1 Destination filename [startup-config]? <Enter>!! 326 bytes copied in 1.94 secs (273 bytes/sec) Router#
Przywrócenie wcześniej zarchiwizowanej konfiguracji czy wgranie obrazu systemu IOS do urządzenia, wymaga dostępności serwera TFTP, na którym znajdują się pożądane pliki. Przykład 21 pokazuje przywrócenie konfiguracji znajdującej się w pliku Routerconfg na komputerze oraz jej zapisanie w pamięci urządzenia [3]. Przykład 21. Router# copy tftp: running-config Address or name of remote host []? 10.1.1.1 Source filename []? Router-confg Destination filename [running-confg]? <Enter> Accessing tftp://10.1.1.1/router-confg... Loading Router-confg from 10.1.1.1 (via Ethernet0/0):! [OK - 1246 bytes] 1246 bytes copied in 11.866 secs (105 bytes/sec) Router# Router# copy running-config startup-config Destination filename [startup-config]? <Enter> Building configuration... [OK] Router# Przykład 22 przedstawia sposób na zainstalowanie systemu IOS znajdującego się na serwerze TFTP. W odróżnieniu od wcześniej opisanych operacji, urządzenie pyta administratora czy chce on wykasować zawartość pamięci FLASH. Przed przystąpieniem do operacji należy upewnić się czy wielkość systemu IOS, który będziemy kopiowali do urządzenia jest mniejsza lub równa dostępnej ilości miejsca w pamięci FLASH. Przypadek, w którym wykasowana zostanie zawartość pamięci FLASH i niemożliwe będzie wgranie pożądanego obrazu systemu z powodu braku miejsca, spowoduje iż urządzenie nie uruchomi się poprawnie przy kolejnym starcie [3]. Przykład 22. Router# copy tftp: flash:
Address or name of remote host []? 10.1.1.1 Source filename []?c2600-ik9o3s3-mz.123-6a.bin Destination filename [c2600-ik9o3s3-mz.123-6a.bin]? Accessing tftp://10.1.1.1/c2600-ik9o3s3-mz.123-6a.bin... Erase flash: before copying? [confirm] <Enter> Erasing the flash filesystem will remove all files! Continue? [confirm] <Enter> Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee...erased Erase of flash: complete Loading c2600-ik9o3s3-mz.123-6a.bin from 10.1.1.1 (via Ethernet0/0):!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! [OK - 15619830/33213556 bytes] Verifying checksum... OK (0x92B) 15619830 bytes copied in 187.776 secs (83183 bytes/sec) Router# Podane do tej pory metody pracy z urządzeniem wymagały wcześniejszego uruchomienia obrazu IOS. W sytuacjach awarii pamięci FLASH lub po wykasowaniu obrazu systemu i ponownym uruchomieniu urządzenia, uruchamia się ono w trybie ROMMON. Tryb ten zawiera bardzo ograniczony zestaw instrukcji, pozwalający m.in. na awaryjne wgranie systemu operacyjnego IOS. Uaktualnienie pamięci FLASH staje się możliwe dzięki transmisji XModem lub za pomocą protokołu TFTP. Metoda pierwsza pozwala na wgranie systemu IOS za pomocą kabla konsolowego, druga z wykorzystaniem połączenia typu Ethernet i serwera TFTP. W przykładzie 23 przedstawiono sposób na instalację obrazu systemu IOS z wykorzystaniem kabla konsolowego i transmisji XModem. Warto zwrócić uwagę iż metoda jest bardzo rzadko stosowana, ponieważ szybkość transmisji kabla konsolowego domyślnie wynosi 9600 bit/s, i instalacja obrazu wymaga dużo czasu. W przykładzie tym system ma wielkość 16 Mb, zatem cały proces instalacji systemu wynosi około pięciu godzin. Etapy instalacji nowego systemu:
Podczas pierwszych 30 sekund nacisnąć kombinację klawiszy Ctrl+Break. Operacja ta powoduje przejście to trybu ROMON, zawierającego bardzo ograniczający zestaw poleceń. W ramach trybu ROMON wpisać polecenie xmodem nazwa_pliku_ios.bin, gdzie nazwa_pliku_ios jest nazwą pliku zawierającego obraz systemu IOS. Po zatwierdzeniu polecenia, urządzenie poinformuje nas, iż wszystkie dane w pamięci FLASH zostaną skasowane i zapyta czy chcemy dalej kontynuować. Wcisnąć klawisz y aby kontynuować operację [3]. Przykład 23. System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1) Copyright (c) 1999 by cisco Systems, Inc. TAC:Home:SW:IOS:Specials for info C2600 platform with 65536 Kbytes of main memory <Ctrl+Break> rommon 1 > rommon 1 > xmodem c2600-is3x-mz.123-17a Do not start the sending program yet... File size Checksum File name 16033172 bytes (0xf4a594) 0x761a c2600-ik9o3s3-mz.123-6a.bin WARNING: All existing data in bootflash will be lost! Invoke this application only for disaster recovery. Do you wish to continue? y/n [n]: y Ready to receive file c2600-ik9o3s3-mz.123-6a.bin... W programie terminalowym (w naszym przykładzie wykorzystano program HyperTerminal, domyślnie zainstalowany w środowisku Windows) należy wybrać zakładkę Transfer i wybrać opcję Wyślij plik. Należy wskazać plik z obrazem IOS i wybrać opcję transmisji jako XModem. Po zatwierdzeniu pojawi się okno informujące o stanie wysyłania pliku, takie jak na rys. 9.
Rys. 9. Okna wyboru i stanu transmisji XModem. Przykład 24 pokazuje sposób zainstalowania obrazu systemu IOS z trybu ROMON z wykorzystaniem serwera TFTP. Konieczne jest ustawienie parametrów interfejsu (adres IP, maska sieciowa oraz brama domyślna), oraz serwera TFTP (adres IP oraz nazwa pliku z obrazem systemu IOS). Polecenia konfiguracyjne podane poniżej należy wpisać za pomocą dużych liter. Po konfiguracji w/w parametrów wpisuje się polecenie tftpdnld celem pobrania systemu IOS z serwera TFTP. Operacja ta powoduje wykasowanie zawartości pamięci FLASH. Przykład 24. System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1) Copyright (c) 1999 by cisco Systems, Inc. TAC:Home:SW:IOS:Specials for info C2600 platform with 65536 Kbytes of main memory <Ctrl+Break> rommon 1 > tftpdnld usage: tftpdnld [-r] The following variables are REQUIRED to be set for tftpdnld: IP_ADDRESS: The IP address for this unit IP_SUBNET_MASK: The subnet mask for this unit DEFAULT_GATEWAY: The default gateway for this unit TFTP_SERVER: The IP address of the server to fetch from
TFTP_FILE: The filename to fetch rommon 2 > IP_ADDRESS=192.168.1.160 rommon 3 > IP_SUBNET_MASK=255.255.255.0 rommon 4 > DEFAULT_GATEWAY=192.168.1.254 rommon 5 > TFTP_SERVER=192.168.1.156 rommon 6 > TFTP_FILE=c2600-is3x-mz.123-17a.bin rommon 7 > tftpdnld IP_ADDRESS: 192.168.1.160 IP_SUBNET_MASK: 255.255.255.0 DEFAULT_GATEWAY: 192.168.1.254 TFTP_SERVER: 192.168.1.156 TFTP_FILE: c2600-is3x-mz.123-17a.bin Invoke this command for disaster recovery only. WARNING: all existing data in all partitions on flash will be lost! Do you wish to continue? y/n: [n]: y Performing tftpdnld over 10Mb Enet. Initializing interface. Interface link state down. Interface link state up. ARPing for 192.168.1.156 ARP reply for 192.168.1.156 received. MAC address 00:15:b7:45:ab:50 Receiving c2600-is3x-mz.123-17a.bin from 192.168.1.156!!!!!!!!!!!!!!!!!!!!!!!!! File reception completed. Copying file c2600-is3x-mz.123-17a.bin to flash. Erasing flash at 0x604c0000 Erasing flash at 0x60fc0000 program flash location 0x60e40000 rommon 9 > reset System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1) Copyright (c) 1999 by cisco Systems, Inc.
TAC:Home:SW:IOS:Specials for info Polecenia użyte w powyższych przykładach zestawione zostały w tabeli 7. Tabela 7. Wybrane polecenia Cisco IOS użyte w przykładach 20-24. # copy flash: tftp: # copy startup-config tftp: # copy tftp: running-config # copy tftp: flash: Wykonanie kopi pliku znajdującego się w pamięci FLASH urządzenia na serwer TFTP. Wskazanie konkretnego pliku następuje po wydaniu polecenia. Wykonanie kopi konfiguracji startowej urządzenia na serwer TFTP. Przywrócenie kopi lub wgranie nowej konfiguracji startowej znajdującej się na serwerze TFTP. Przywrócenie kopi lub wgranie nowego obrazu systemu IOS znajdującego się na serwerze TFTP. 2.9 Odzyskiwania dostępu do przełącznika po utracie haseł Procedura odzyskania dostępu dla przełączników serii Catalyst 2950 obejmuje następujące czynności: podłączenie kabla konsolowego do przełącznika i uruchomienie terminala, wyłączenie zasilania przełącznika, włączenie zasilania przełącznika, podczas uruchamiania przytrzymania przycisku MODE znajdującego się na przednim panelu przez kilka sekund. Operacja ta powoduje przejście to trybu ROMON (przykład 25), który to tryb zawiera bardzo ograniczający zestaw poleceń [9]. Przykład 25.
(fc1) C2900XL Boot Loader (C2900-HBOOT-M) Version 11.2(8)SA4, RELEASE SOFTWARE Compiled Mon 23-Nov-98 20:59 by paulines starting... Base ethernet MAC Address: 00:d0:c0:f8:cd:80 Xmodem file system is available. The system has been interrupted prior to initializing the flash filesystem. The following commands will initialize the flash filesystem, and finish loading the operating system software: flash_init load_helper boot switch: Kolejnym krokiem jest inicjacja pamięci FLASH (flash_init) oraz załadowanie modułu pomocy (load_helper), tak jak przedstawiono na przykładzie 26 [9]. Przykład 26. switch: flash_init Initializing Flash... flashfs[0]: 204 files, 6 directories...done Initializing Flash. Boot Sector Filesystem (bs:) installed, fsid: 3 Parameter Block Filesystem (pb:) installed, fsid: 4 switch: load_helper switch: W kolejnym etapie (przykład 27) należy wyświetlić zawartość pamięci FLASH i odnaleźć plik startowy o nazwie config.text. W pliku tym zapisana jest konfiguracja startowa urządzenia. Zamiana nazwy pliku z konfiguracją startową na inny niż domyślny spowoduje, iż urządzenie po restarcie nie będzie w stanie odczytać konfiguracji i zapisanych w niej haseł. Po dokonanej modyfikacji należy uruchomić przełącznik wykorzystując polecenie boot [9]. Przykład 27.
(fc1) switch: dir flash: Directory of flash:/ 3 -rwx 81898 <date> c2900xl-diag-mz-112.8-sa4 182 -r-- 726 <date> config.text 5 -rwx 106 <date> info 180 -rwx 106 <date> info.ver 181 -rwx 365 <date> env_vars 209920 bytes available (3402752 bytes used) switch: switch: rename flash:config.text flash:config.bck switch: dir flash: Directory of flash:/ 3 -rwx 81898 <date> c2900xl-diag-mz-112.8-sa4 182 -r-- 726 <date> config.bck 5 -rwx 106 <date> info switch: boot C2950 Boot Loader (C2950-HBOOT-M) Version 12.1(11r)EA1, RELEASE SOFTWARE Compiled Mon 22-Jul-02 17:18 by antonino WS-C2950T-24 starting... Po uruchomieniu należy pominąć tryb konfiguracji początkowej i wykonać następujące kroki celem przywrócenia właściwej konfiguracji (przykład 28): przejść w tryb uprzywilejowany, przekopiować plik ze zmienioną nazwą do bieżącej konfiguracji, ustawić nowe hasła, zapisać poprzednią konfigurację z nowym hasłem [9]. Przykład 28. Switch>enable Switch# Switch# copy flash:config.bck running-config Destination filename [running-config]? 726 bytes copied in 1.280 secs (726 bytes/sec)
sw1# sw1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. sw1(config)#enable secret tajne sw1(config)# exit sw1# sw1 #copy running-config startup-config Destination filename [startup-config]? Building configuration... sw1# 2.10 Odzyskiwania dostępu do routera po utracie haseł Procedura odzyskania dostępu dla routerów Cisco serii 2600 obejmuje następujące działania: podłączenie kabla konsolowego do routera i uruchomienie terminala, wyłączenie zasilania routera, włączenie zasilania routera, podczas pierwszych 30 sekund uruchamiania należy nacisnąć kombinację klawiszy Ctrl+Break. Operacja ta powoduje przejście do trybu ROMON (przykład 29) [10]. Przykład 29. System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1) Copyright (c) 1999 by cisco Systems, Inc. TAC:Home:SW:IOS:Specials for info C2600 platform with 65536 Kbytes of main memory <Ctrl+Break> PC = 0xfff0a530, Vector = 0x500, SP = 0x80004374 monitor: command "boot" aborted due to user interrupt rommon 1 > W kolejnych krokach (przykład 30) należy zmodyfikować wartość rejestru systemowego na wartość 0x2142 i ponownie uruchomić urządzenie poleceniem reset.
Zmiana wartości rejestru spowoduje, iż urządzenie po restarcie nie będzie odczytywało konfiguracji startowej i zapisanych w niej haseł [10]. Przykład 30. rommon 1 > confreg 0x2142 You must reset or power cycle for new config to take effect rommon 2 > reset System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1) Copyright (c) 1999 by cisco Systems, Inc. Po uruchomieniu routera należy pominąć tryb konfiguracji początkowej i wykonać następujące kroki (przykład 31) celem przywrócenia właściwej konfiguracji: przejść w tryb uprzywilejowany, przekopiować plik ze zmienioną nazwą do bieżącej konfiguracji, ustawić nowe hasła, aktywować wcześniej używane interfejsy, przywrócić domyśle parametry rejestru (0x2102), zapisać poprzednią konfigurację z nowym hasłem [10]. Przykład 31. Router> Router# enable Router# copy startup-config running-config Destination filename [running-config]? <Enter> 1649 bytes copied in 1.556 secs (1649 bytes/sec) R2# R2# configure terminal R2(config)# enable secret tajne R2(config)# config-register 0x2102 R2(config)# exit R2# copy running-config startup-config Destination filename [startup-config]?