SIECI KOMPUTEROWE KONFIGUROWANIE ROUTERÓW I PRZEŁĄCZNIKÓW 1. Podłączanie i weryfikacja podstawowych parametrów routera a) Wprowadzić do symulatora Packet Tracer: jeden router serii 2621XM dwa przełączniki serii 2950-24 4 hosty Przełączniki należy podłączyć do osobnych portów FastEthernet routera. Z kolei do każdego przełącznika należy podpiąć 2 hosty. b) Wejść do trybu CLI routera (nie korzystać z zakładki Config!) i wykonać podstawową weryfikację parametrów sprzętowych routera za pomocą polecenia show version: platforma sprzętowa (model routera) Cisco 2621 (MPC860) ilość i prędkość interfejsów Ethernetowych 2 x FastEthernet/IEEE 802.3 ilość aktualnie zainstalowanych interfejsów szeregowych 0 maksymalny rozmiar pliku z systemem operacyjnym 63488K nazwa pliku przechowującego system operacyjny flash:c2600-imz.122-28.bin ilość pamięci przeznaczonej na potrzeby zapisu konfiguracji 32K sposób ostatniego restartu routera returned to ROM by reload bieżące ustawienie rejestru konfiguracji 0x2102 c) Wyszukać podstawowe informacje na temat rejestru konfiguracji (configuration register): 0x2102 boot do ROM jeśli pierwsza opcja bootowania się nie powiedzie; 9600 bodów Zastosowanie: 1. how the router boots (into ROMmon, NetBoot) 2. options while booting (ignore configuration, disable boot messages) 3. console speed (baud rate for a terminal emulation session) http://www.cisco.com/c/en/us/support/docs/routers/10000-series-routers/50421- config-register-use.pdf możliwe ustawienia ostatniego bajtu i zachowanie routera przy tych ustawieniach 0x2100 https://learningnetwork.cisco.com/thread/52176 https://supportforums.cisco.com/document/13706/ciscorouter-stuck-rommon-mode 0x2142 ignorowanie konfiguracji z NVRAM d) Zaznajomić się z mechanizmem uzupełniania poleceń: wpisać litery sh, a następnie nacisnąć tab zweryfikować reakcję interfejsu na podanie niepełnej komendy poprzez naciśnięcie enter po wykonaniu poprzedniego polecenia
wrócić do ostatniego wpisu poprzez naciśnięcie strzałki w górę wpisać show?, aby podać listę dostępnych parametrów wypróbować używanie skrótów poprzez wywołanie sh his (jakiemu poleceniu odpowiada taki zapis?) show history wyświetlić listę wszystkich dostępnych poleceń e) Zweryfikować możliwości trybu uprzywilejowanego: wywołać komendę enable wyjaśnić, w jaki sposób można odróżnić, czy znajdujemy się w trybie zwykłym, czy uprzywilejowanym znak zachęty jest inny: w trybie normalnym jest to > w trybie uprzywilejowanym jest to # zweryfikować listę dostępnych poleceń wyświetlić wszystkie aktualnie dostępne parametry komendy show wylistować bieżącą konfigurację (show running-config) powrócić na moment do trybu zwykłego (disable) zrestartować router bez zapisu konfiguracji (reload) f) Wykonać podstawową weryfikację konfiguracji bieżącej i startowej: w trybie uprzywilejowanym zastosować polecenie show z odpowiednimi parametrami ustalić bieżącą nazwę routera na co najmniej 2 sposoby 1. sprawdzić co się znajduje przez promptem 2. show running-config zweryfikować bieżące adresowanie i inne parametry interfejsów 1. show interfaces sprawdzić, czy zostały ustawione jakiekolwiek hasła 1. chyba nie, bo powinno być je widać w show running-config 2. linijka no service password-encryption mówi, że chyba hasła nie bardzo zweryfikować, czy dowolne interfejsy routera są aktywowane za pomocą polecenia show ip interface brief 1. nie są; każdy jest administratively down 2. Wprowadzenie do konfiguracji routera a) Zainicjować tryb konfiguracji routera (configure terminal). b) Zweryfikować ustawienie znaku zachęty routera oraz dostępne polecenia. c) Ustalić nazwę routera na Wydzial_Zarzadzania (polecenie hostname). d) Skonfigurować interfejsy routera, związane z obsługą sieci lokalnych: w trybie konfiguracji wywołać polecenie interface i wskazać pierwszy z dostępnych interfejsów FastEthernetowych jako parametr przypisać temu połączeniu adres 153.19.121.30 z maską 255.255.255.224 (na potrzeby topologii założono, że każda z podklas będzie służyła do obsługi pojedynczej pracowni komputerowej, a port routera otrzymuje ostatni użyteczny adres danej klasy) włączyć interfejs poleceniem no shutdown
zweryfikować bieżącą konfigurację drugiemu interfejsowi przypisać adres 153.19.121.62 z analogiczną maską sprawdzić, czy istnieje zapisana konfiguracja startowa 1. show startup-config mówi, że konfiguracja nie istnieje zapisać konfigurację (copy running-config startup-config lub write w odpowiednim trybie) zweryfikować, czy zapisanie konfiguracji się powiodło, poprzez wyświetlenie konfiguracji startowej e) Uzupełnić nazewnictwo routerów i adresowanie w bieżącym wycinku sieci zgodnie z zaprezentowanym schematem. Założenia: na każdym routerze trzeba dołożyć kartę WIC-2T, oferującą 2 interfejsy szeregowe, które posłużą do łączenia routerów w każdej sieci port routera otrzymuje ostatni użyteczny adres danej klasy, a hosty są liczone od początku hostom przydzielamy adresowanie ręcznie (bramą domyślną jest interfejs najbliższego routera) po wykonaniu ćwiczenia wszystkie hosty powinny pingować się z innymi hostami w swojej sieci i swoim routerem f) Uzupełnić adresowanie na kablach szeregowych:
wszystkie połączenia szeregowe w Kampusie_Sopot mają przypisaną maskę sieciową /30 pierwsza z podsieci dedykowanych dla połączeń punkt-punkt, tj. 153.19.120.0/30, jest zarezerwowana na potrzeby późniejszego połączenia z innymi kampusami połączeniu pomiędzy routerem Biblioteka_Filia a routerem Wydzial_Zarzadzania przypisano drugą podsieć połączeniu pomiędzy routerem Biblioteka_Filia a routerem Wydzial_Ekonomiczny przypisano trzecią podsieć połączeniu pomiędzy routerem Centrum_Konferencyjne a routerem Wydzial_Zarzadzania przypisano czwartą podsieć połączeniu pomiędzy routerem DS7 a routerem Wydzial_Ekonomiczny przypisano piątą podsieć na połączeniach szeregowych po stronie DCE (w symulatorze symbol zegara) należy ustawić taktowanie poleceniem clock rate z konsoli routera można zweryfikować, czy dane urządzenie ma pełnić rolę DCE czy DTE i czy ustawiono taktowanie w odniesieniu do konkretnego połączenia szeregowego, używając polecenia show controllers g) Uzupełnić konfigurację sieci bezprzewodowej: zmienić w konfiguracji SSID na Aula ustawić klucz WEP na urządzeniu dostępowym oraz hoście 3. Polityka haseł a) Ustawić hasła standardowe na routerze Wydzial_Zarzadzania: ustawić standardowe hasło class do trybu uprzywilejowanego za pomocą polecenia enable secret ustawić hasło na port konsolowy poleceniami: line console 0 password cisco login ustawić hasło telnetowe poleceniami: line vty 0 15 password cisco login b) Ustawić standardowe hasło do trybu uprzywilejowanego na wszystkich pozostałych routerach (nie definiować na tym etapie haseł konsotowych i telnetowych). c) Zdefiniować profile użytkownika na routerze Biblioteka_Filia: dodać użytkownika administrator z hasłem admin798 za pomocą polecenia username dodanie użytkownika utrzymanie_sieci z hasłem us4bf za pomocą polecenia username wymusić stosowanie profili użytkowników w podtrybach line console i line vty poprzez wyłączenie stosowania hasła uniwersalnego (no login) i wprowadzenie polecenia login local d) Uruchomić usługę szyfrowania wszystkich wprowadzonych haseł na routerze poleceniem service password-encryption
e) Zweryfikować fakt zaszyfrowania wprowadzonych haseł: dokonać przeglądu konfiguracji bieżącej wyłączyć usługę szyfrowania haseł ponownie zweryfikować konfigurację bieżącą i sprawdzić, czy hasła pozostały w formie zaszyfrowanej, czy nie dodać kolejny profil użytkownika dokonać ponownej weryfikacji i zweryfikować stan szyfrowania poszczególnych haseł dodanych wcześniej f) Ustawić hasła telnetowe na pozostałych routerach wg następujących zasad: na wszystkie linie terminala z wyjątkiem ostatniej należy ustawić standardowe hasło cisco na ostatnią linię należy ustawić prywatne hasło administratora (wybrać samodzielnie) wyjaśnić, dlaczego zastosowano odmienne podejście do ostatniej linii 4. Routing statyczny a) Korzystając z polecenia ip route, podać listę wszystkich sieci, do których może wysyłać dane router Biblioteka_Filia: do sieci 153.19.125.0 / 24 kierując dane na adres IP połączenia szeregowego pomiędzy routerami Biblioteka_Filia a Wydzial_Zarzadzania, przypisany do routera Wydzial_Zarzadzania do sieci 153.19.121.0 / 27 kierując dane na adres IP połączenia szeregowego pomiędzy routerami Biblioteka_Filia a Wydzial_Zarzadzania, przypisany do routera Wydzial_Zarzadzania do sieci 153.19.121.32 / 27 kierując dane na adres IP połączenia szeregowego pomiędzy routerami Biblioteka_Filia a Wydzial_Zarzadzania, przypisany do routera Wydzial_Zarzadzania do sieci, opisującej połączenie szeregowe pomiędzy routerami Centrum_Konferencyjne i Wydzial_Zarzadzania kierując dane na adres IP połączenia szeregowego pomiędzy routerami Biblioteka_Filia a Wydzial_Zarzadzania, przypisany do routera Wydzial_Zarzadzania do sieci 153.19.124.0 / 24 kierując dane na adres IP połączenia szeregowego pomiędzy routerami Biblioteka_Filia a Wydzial_Ekonomiczny, przypisany do routera Wydzial_Ekonomiczny do sieci 153.19.123.0 / 24 kierując dane na adres IP połączenia szeregowego pomiędzy routerami Biblioteka_Filia a Wydzial_Ekonomiczny, przypisany do routera Wydzial_Ekonomiczny do sieci, opisującej połączenie szeregowe pomiędzy routerami DS7 i Wydzial_Ekonomiczny kierując dane na adres IP połączenia szeregowego pomiędzy routerami Biblioteka_Filia a Wydzial_Ekonomiczny, przypisany do routera Wydzial_Ekonomiczny b) Zweryfikować poprawność wprowadzonych wpisów, sprawdzając konfigurację bieżącą routera i skorygować ewentualne pomyłki
c) Wyjaśnić, czemu pominięto wpisy prowadzące do sieci 153.19.122.0 / 24 oraz połączeń szeregowych routera Biblioteka_Filia d) Skonfigurować routing statyczny na pozostałych routerach zaprezentowanej topologii e) Upewnić się, że routing działa poprawnie na jeden z wymienionych sposobów: wyświetlając zawartość tablicy routingu na każdym routerze poleceniem show ip route i sprawdzając, czy zawiera ona wpisy do poszczególnych sieci w obszarze pingując z wybranych hostów hosty w innych sieciach f) Skonfigurować połączenie zapasowe pomiędzy routerami Biblioteka_Filia i DS7: połączyć routery kablem szeregowym skonfigurować interfejsy wybranymi adresami z sieci 153.19.200.0 / 24 w celu minimalizacji liczby dodatkowych wpisów routingu statycznego, wyliczyć pojedynczy adres sumaryczny do obu sieci routera Wydzial_Zarzadzania dokonać wpisów ip route zgodnie z wyliczeniem, dodając na końcu każdego wpisu wysoką wartość odległości administracyjnej (np. 250) zweryfikować, czy nowe trasy są stosowane w przesyłaniu danych wyłączyć tymczasowo router będący elementem połączenia podstawowego i powtórzyć weryfikację (upewnić się, że wcześniej zapisano konfigurację!) 5. Routing dynamiczny a) Uzupełnić topologię zgodnie ze schematem: wszystkie dołączone routery używają kabli V35 (karty rozszerzeń WIC-1T, NM- 4A/S, NM-8A/S) do routera Rektorat nie podpięto żadnych sieci lokalnych router Wydzial_Nauk_Spolecznych obsługuje sieć 153.19.201.0 / 24 router Wydzial_Mat-Fiz-Inf obsługuje sieć 153.19.202.0 / 24 router Wydzial_Prawa_i_Administracji obsługuje sieć 153.19.203.0 / 24 router Wydzial_Filologiczny obsługuje sieć 153.19.204.0 / 24 Rektorat łączy się z routerem Biblioteka_Filia siecią 153.19.120.0 / 30 połączenia między routerami to kolejne niewykorzystane podsieci z puli 153.19.120.0 / 24 (z maską /30)
b) Wyodrębnić obszar sieci na schemacie zaznaczyć wszystkie dodane urządzenia końcowe, sieciowe i połączenia między nimi, a następnie wybrać opcję New Cluster zmienić nazwę obszaru na Kampus_Przymorze przećwiczyć nawigowanie między obszarami c) Wprowadzić manualnie wszystkie niezbędne adresy interfejsów i uruchomić interfejsy w danym obszarze sieci d) Zweryfikować poprawność poleceniem show ip interface brief e) Na routerze Wydzial_Prawa_i_Administracji skonfigurować routing dynamiczny EIGRP: aktywować protokół routingu poleceniem router eigrp, podając jako parametr samodzielnie przypisany numer obszaru (musi być taki sam na każdym routerze w danym obszarze) za pomocą polecenia network przypisać po kolei bezpośrednio podłączone sieci lokalne, podając za każdym razem maskę blankietową (binarne odwrócenie zwykłej maski podsieci), np:
f) Skonfigurować protokół EIGRP na pozostałych routerach kampusu i zweryfikować funkcjonowanie obszaru pingując poszczególne hosty z dowolnych lokalizacji g) Zapewnić komunikowanie się pomiędzy oboma kampusami z funkcjonującą odmienną strategią routingu: na routerze brzegowym (Biblioteka_Filia) także włączyć EIGRP i podać wszystkie jego bezpośrednio połączone sieci zastosować na nim polecenie redistribute static, co spowoduje rozgłaszanie tras statycznych przez protokół routingu na routerach w Kampusie_Sopot ustawić trasy domyślne, wysyłające cały ruch z nieznanym adresatem do Kampusu_Przymorze (ip route 0.0.0.0 0.0.0.0 oraz parametr w postaci nazwy interfejsu lub adresu next hop) zweryfikować zawartość tablicy routingu na wybranym routerze z aktywowanym EIGRP poleceniem show ip route i przeanalizować wpisy upewnić się, czy oba kampusy poprawnie komunikują się ze sobą h) Zmodyfikować domyślną metrykę protokołu EIGRP: wykorzystać polecenie bandwidth do zmniejszenia o 60% domyślnej przepustowości połączenia szeregowego pomiędzy routerami Wydzial_Filologiczny a Rektorat sprawdzić, jaką trasą wysyłane są dane z hosta Terminal-1 do routera Biblioteka_Filia wykorzystując kilkukrotnie polecenie traceroute wykonać powyższy punkt, wykorzystując tryb Simulation Packet Tracera, jak i tryb debugowania debug ip icmp na odpowiednich routerach w połączeniu z pingami zweryfikować bieżącą metrykę wykorzystywanej w danym ćwiczeniu trasy, jak i potencjalnych tras alternatywnych w tablicy routingu korzystając z polecenia variance tak ustawić dopuszczalny spadek jakości metryki, aby przez router były brane pod uwagę wszystkie możliwe trasy pomiędzy hostem Terminal-1 a routerem Biblioteka_Filia prześledzić, czy w tablicy routingu uwzględnione zostały niezbędne zmiany zweryfikować na jeden z wykorzystywanych wcześniej sposobów, czy dane wysyłane są na przemian trasami alternatywnymi i) Przygotować dodatkowe sieci z wykorzystaniem routerów serii PT ( pusty router, w narzędziu oznaczony jako Generic + stosowne karty rozszerzeń w zależności od zapotrzebowania) oraz okablowania światłowodowego: router Stacja_Badawcza_Sobieszewo, sieć lokalna 200.200.200.0 / 24 router Instytut_Oceanologii_Sopot, sieć lokalna 200.200.201.0 / 24 router Oceanografia_Gdynia, sieć lokalna 200.200.202.0 / 24 router Fokarium_Hel, sieć lokalna 200.200.203.0 / 24 połączyć routery kablami światłowodowymi w topologię mesh (każdy z każdym) przydzielić adresy interfejsom routerów (na potrzeby kabli łączących routery wykorzystać sieci od 200.200.204.0 / 24 do 200.200.209.0 / 24 połączyć router Oceanografia_Gdynia kablem szeregowym z routerem Rektorat, sieć 200.200.210.0 / 24 (pamiętać o zapisaniu konfiguracji routera Rektorat przed jego ew. wyłączeniem i dołożeniem karty) na nowozainstalowanych routerach zainicjować protokół RIP i skonfigurować bezpośrednio podłączone sieci wyłączyć na wszystkich routerach rozsyłanie aktualizacji do sieci lokalnych z wykorzystaniem komendy passive-interface nrinterfejsu zmniejszyć czas pomiędzy aktualizacjami z domyślnych 30 na 20 sekund poleceniem timers basic przełączyć RIP na wersję 2 poleceniem version
zweryfikować przesyłanie aktualizacji poleceniem debug ip rip 6. Tryb rom-monitor a) Odzyskać zapomniane hasło na routerze Wydzial_Zarządzania: po upewnieniu się, że konfiguracja jest zapisana, fizycznie wyłączyć i włączyć router podczas wczytywania IOS routera nacisnąć kombinację klawiszy Ctrl+C po zainicjowaniu trybu rom-monitor zmienić ustawienie rejestru konfiguracji poleceniem confreg, tak, aby router po inicjacji normalnie wczytywał IOS a pomijał zapisaną konfigurację przeładować router poleceniem reset po uruchomieniu się routera anulować próbę wejścia do trybu setup przejść do trybu użytkownika uprzywilejowanego (właśnie ominięto zapomniane hasło!) wczytać oryginalną konfigurację poleceniem copy startup-config runningconfig ustawić dowolne nowe hasło przywrócić oryginalne ustawienie rejestru konfiguracji poleceniem configurationregister zapisać zmiany, przeładować router, zweryfikować poprawność hasła b) Zainstalować serwer TFTP w sieci: podłączyć serwer do przełącznika Pokoje_Wykladowców przypisać serwerowi adres 153.19.125.100 / 24 w trybie Config wyłączyć na maszynie wszystkie zbędne usługi, tj. DHCP, DNS, HTTP c) Sporządzić kopie zapasowe konfiguracji: zapisać konfigurację routera Centrum_Konferencyjne na serwerze poleceniem copy running-config tftp: w odpowiedzi na pytanie routera, wpisać adres ip serwera oraz zaakceptować domyślną nazwę pliku zweryfikować obecność pliku na serwerze powtórzyć operację na wszystkich routerach Kampusu_Sopot wyczyścić konfigurację routera Centrum_Konferencyjne i przeładować router zainicjować niezbędny interfejs i odzyskać pełną konfigurację z serwera d) Zaktualizować oprogramowanie IOS: tymczasowo przełączyć okablowanie, tak, aby serwer TFTP łączył się z routerem Centrum_Konferencyjne bezpośrednio, z wykorzystaniem kabla z przeplotem upewnić się, że router pinguje się z serwerem TFTP, a na serwerze jest IOS w wersji odpowiedniej dla danej platformy routera dokonać modyfikacji rejestru konfiguracji na 0x2100 poleceniem configurationregister przeładować router w trybie rom-monitor uruchomić polecenie tftpdnld i spisać nazwy obligatoryjnych zmiennych na zasadzie IP_ADDRESS=153.19.125.254 ustalić niezbędne zmienne zweryfikować wartościowania zmiennych poleceniem set uruchomić tftpdnld ponownie
7. Aliasy jeśli operacja się nie powiedzie, zweryfikować adresację i powtórzyć procedurę po zakończeniu operacji przywrócić pierwotny układ połączeń ustalić pierwotny rejestr konfiguracji poleceniem confreg i przeładować router zweryfikować, czy router funkcjonuje poprawnie a) Skonfigurować aliasy na routerze Wydział_Zarządzania: zastosować polecenie ip host do ustalenia nazwy routera Wydział_Ekonomiczny (podać maksymalną liczbę poprawnych adresów IP tego drugiego) analogicznie zdefiniować aliasy do poszczególnych pozostałych routerów Kampusu_Sopot zweryfikować poprawność wykonania ćwiczenia poleceniem show hosts nawiązać sesję telnet z routerem Wydział_Ekonomiczny po nazwie zweryfikować konfigurację routera Wydział_Ekonomiczny zweryfikować listę podłączonych urządzeń sieciowych poleceniem show cdp neighbors przerwać sesję telnet kombinacją Ctrl+Shift+6, następnie X b) Skonfigurować dodatkowo aliasy na dwóch wybranych routerach Kampusu_Sopot c) Zweryfikować możliwości zarządzania sesjami telnet: nawiązać kilka różnych sesji telnet pomiędzy routerami zweryfikować sesje przychodzące poleceniem show users 8. DHCP, NAT i PAT a) Podłączyć następujący obszar sieci do routera Centrum_Konferencyjne: b) Statycznie przypisać drukarce sieciowej (i tylko drukarce) adres 192.168.1.3 / 24 c) Skonfigurować router Centrum_Konferencyjne pod kątem dynamicznego przydzielania adresów:
przydzielić adres 192.168.1.254 do nowego interfejsu routera i uruchomić ten interfejs zdefiniować nową pulę adresów dynamicznych o nazwie korytarz poleceniem ip dhcp pool nakazać przydzielanie adresów z sieci prywatnej 192.168.1.0 / 24 poleceniem network wyspecyfikować bramę domyślną 192.168.1.254 do przydzielania przez DHCP poleceniem default-router jako, że drukarka sieciowa ma mieć adres z końcówką 3, i końcówka ta ma nie być przydzielana żadnemu hostowi, wyłączyć ją z puli poleceniem ip dhcp excluded-address d) Zweryfikować adresację na hostach w nowej sieci i łączność tej sieci z własnym routerem e) Skonfigurować na routerze proces zamiany adresów prywatnych na publiczne: utworzyć listę adresów, które mają być tłumaczone poleceniem access-list 1 permit 192.168.1.0 0.0.0.255 (wszystkie adresy w sieci lokalnej) utworzyć pulę adresów publicznych, na które mają być zamienianie adresy prywatne poleceniem ip nat pool; pula ma mieć nazwę korytarz, a jako adresy zewnętrzne wykorzystujemy dowolnie wybrany przez siebie zestaw adresów z sieci 153.19.127.0 / 24 powiązać zakres adresów prywatnych z zakresem adresów publicznych poleceniem ip nat inside source list 1 pool korytarz stosowny interfejs prowadzący do sieci lokalnej zdefiniować jako stronę dostarczającą adresów do tłumaczenia poleceniem ip nat inside interfejs prowadzący do routera Wydział_Zarządzania zdefiniować jako stronę, która ma widzieć przetłumaczone adresy poleceniem ip nat outside f) Uzupełnić wpisy statyczne na innych routerach Kampusu_Sopot, aby możliwa była komunikacja w całej sieci WAN (po skonfigurowaniu dynamicznego tłumaczenia adresów posługujemy się tylko i wyłącznie adresami publicznymi) 9. ACL a) Zablokować cały ruch pomiędzy obiema sieciami lokalnymi routera Wydzial_Zarzadzania: przygotować listę rozszerzoną, blokującą cały ruch IP pomiędzy odpowiednią siecią źródłową a docelową poleceniem access-list wprowadzić analogiczne polecenie z tym samym numerem listy, przepuszczające dowolny ruch z dowolnej sieci do dowolnej innej sieci na interfejsie, który w ACL był traktowany jako źródłowy, wpisać polecenie ip access-group z numerem listy i parametrem in na interfejsie, który w ACL był traktowany jako docelowy, wpisać polecenie ip access-group z numerem listy i parametrem out zweryfikować działanie, pingując pomiędzy kilkoma sieciami b) Ograniczyć na routerze Centrum_Konferencyjne ruch z sieci podłączonych do routerów DS7 i Wydział_Ekonomiczny względem rodzaju: włączyć na serwerze podpiętym do sieci lokalnej Centrum_Konferencyjne usługę HTTP zmodyfikować treść strony: <html> <center>
<br> To jest nasza niepowtarzalna, wysublimowana strona testowa z mnóstwem fajerwerków </center> </html> na dowolnym hoście innej sieci uruchomić przeglądarkę internetową i wejść na adres 153.19.125.100 sporządzić wpis listy ACL, przepuszczający ruch po porcie 80 z sieci źródłowych sporządzić wpis listy ACL, blokujący każdy inny ruch z tych sieci sporządzić wpis listy ACL, przepuszczający dowolny ruch dowolnej innej sieci przetestować działanie c) Sporządzić nazwaną ACL, blokującą każdy ruch z wyjątkiem pingowania do komputera administratora; informacje o zablokowanym ruchu winny być ujmowane w logach 10. Limitowanie dostępu do sieci na przełącznikach a) Zweryfikować tablicę przełączania przełącznika WZ213: wyświetlić tablicę przełączania (show mac-address-table) wyszukać i zapisać adresy MAC obu podpiętych hostów jeśli tablica nie zawierała kompletu danych, wyjaśnić i zniwelować źródło problemu zmienić adres MAC wybranego hosta (w zakładce Config hosta) zweryfikować, czy tablica przełączania została poprawnie uzupełniona b) Zdefiniować na przełączniku maksymalną liczby adresów uczonych dynamicznie: zweryfikować kompletne ustawienia bezpieczeństwa poprzednio weryfikowanego portu poleceniem show port-security interface w trybie konfiguracji interfejsu włączyć politykę bezpieczeństwa na wykorzystywanym porcie: switchport mode access switchport port-security ustawić parametry bezpieczeństwa: switchport port-security maximum 1 switchport port-security violation shutdown upewnić się, że tablica adresów MAC jest wypełniona ponownie zmienić MAC hosta lub podpiąć inny host w jego miejsce upewnić się, że port został automatycznie wyłączony (diagram, konfiguracja), a dane o zastosowanej akcji zapamiętane (show port-security) c) Zdefiniować bezpieczne adresy statyczne na przełączniku WZ304 przypisać adresy MAC statycznie wszystkim trzem wykorzystywanym portom poleceniem switchport port-security mac-address zweryfikować tablicę adresów MAC zapisać konfigurację przełącznika doprowadzić do wystąpienia naruszenia polityki bezpieczeństwa i przeładować przełącznik
11. Wprowadzanie wirtualnych sieci LAN na przełącznikach a) Wyszukać informację na temat VLAN-ów: czym jest sieć VLAN? jakie VLAN-y są domyślnie skonfigurowane na przełączniku? które porty przełącznika są do nich przypisane? b) Zweryfikować dane o możliwości komunikowania się hostów w zależności od konfiguracji VLAN-ów: czy hosty podpięte do tego samego VLAN-a na pojedynczym przełączniku mogą się pingować? czy hosty podpięte do różnych VLAN-ów na tym samym przełączniku mogą się pingować? czy hosty podpięte do VLANów o tej samej nazwie na różnych przełącznikach mogą się pingować? co trzeba wykonać, aby umożliwić pingowanie we wszystkich opisanych w powyższym punkcie sytuacjach? co to jest trunking i jakie jest jego zastosowanie? c) Utworzyć nowy obszar, przynależny do routera Centrum_Konferencyjne:
d) Przeprowadzić podstawową konfigurację zawartości obszaru: nazwać obszar Pracownie wykorzystać kable światłowodowe (w miarę możliwości o przepustowości 1 Gb/s) do połączenia przełącznika Serwerownia z routerem i serwerami przypisać poszczególnym hostom adresy z sieci 153.19.126.0 / 24 skonfigurować odpowiedni port routera Centrum_Konferencyjne z końcówką.254 zweryfikować poprawność pingowania wybranych hostów do routera e) Zdefiniować sieci VLAN na przełączniku Serwerownia: wyświetlić listę VLAN-ów, ich nazw oraz przypisanych adresów IP komendą show vlan wejść do trybu konfiguracyjnego (analogicznie jak na routerze) dodać VLAN o numerze 21 (polecenie vlan 21) przypisać mu nazwę SerweryPubliczne poleceniem name dodać VLAN 22 oraz 11, 12, 13, 14 nazwy odpowiednio SerweryPrywatne, C24, C25, C36 oraz Administracja wyświetlić listę dostępnych VLAN-ów usunąć VLAN o numerze 14 ponownie zweryfikować konfigurację f) Przypisać porty przełącznika do VLAN-ów: zweryfikować adresy IP serwerów przypisanych do przełącznika Serwerownia sprawdzić połączenie pomiędzy serwerami za pomocą polecenia ping w konfiguracji przełącznika wejść w tryb konfiguracji interfejsu, do którego podpięto serwer Aplikacyjny przypisać ten serwer do VLAN-u SerweryPubliczne poleceniami: switchport mode access switchport access vlan 21
zweryfikować konfigurację VLAN-ów pod kątem sprawdzenia, czy przypisanie zostało dokonane poprawnie przypisać drugi serwer do VLAN-u SerweryPrywatne dodać na schemacie serwer Web o adresie IP z tej samej sieci i podpiąć go do przełącznika Serwerownia przypisać serwer do VLAN-u SerweryPubliczne zweryfikować, czy faktycznie serwer Web pinguje się tylko z tym serwerem, który jest podpięty do tego samego VLAN-u, i nie widzi drugiego serwera zweryfikować czy jakikolwiek z serwerów podpięty do przełącznika ma dostęp do sieci rozległej dodać router do VLAN-u SerweryPubliczne zweryfikować, czy serwer oraz jeden host mają dostęp do sieci rozległej, natomiast drugi host jest odcięty wyjaśnić, czemu jeden serwer nie komunikuje się z siecią rozległą g) Umożliwić nawiązywanie sesji telnet z przełącznikiem Serwerownia: nadać przełącznikowi nazwę ustawić hasło do trybu uprzywilejowanego oraz telnetowe zdefiniować interfejs jako sieć vlan poleceniem interface vlan 25 przydzielić adres ip 153.19.126.250 i podnieść interfejs spróbować nawiązać sesję zdalną z przełącznikiem wskazać hosty w sieci, z których nawiązanie takiej sesji jest możliwe i powody takiej sytuacji h) Zdefiniować połączenia typu trunk: każdy port dowolnego przełącznika, prowadzący bezpośrednio do innego przełącznika, ustawić jako trunkujący poleceniem switchport mode trunk zweryfikować na wybranym przełączniku status portów trunkujących poleceniem show interface trunk zweryfikować szczegółowe dane nt. przesyłu przez wybrany port trunkujący poleceniem show interface port switchport zastosowana enkapsulacja:... zakres obsługiwanych VLAN-ów:... zmienić zakres obsługiwanych VLAN-ów na 10-25 na portach trunkujących każdego przełączniku poleceniem switchport trunk allowed vlan i) Uzupełnić wycinkową konfigurację obszaru: na przełączniku Lewo-1 założyć VLAN C24 (numery VLAN-ów analogiczne jak na przełączniku Serwerownia) na przełączniku Lewo-3 założyć VLAN C25 na przełączniku Lewo-2 założyć VLAN-y C24 i C25 przydzielić odpowiednie porty przełączników do stosownych VLAN-ów zgodnie z nazewnictwem zweryfikować, czy hosty należące do tych samych VLAN-ów na różnych przełącznikach pingują się ze sobą
12. Protokół VTP a) Skonfigurować przełączniki obszaru (z wyjątkiem przełącznika Serwerownia) jako klientów protokołu VTP: włączyć tryb klienta poleceniem vtp mode client zdefiniować domenę zarządzania o nazwie UG poleceniem vtp domain ustawić hasło dla komunikatów vtp na cisco poleceniem vtp password b) Skonfigurować przełącznik Serwerownia: zdefiniować domenę zarządzania o nazwie UG poleceniem vtp domain ustawić hasło dla komunikatów vtp na cisco poleceniem vtp password ustawić wersję 2 protokołu poleceniem vtp version c) Zweryfikować funkcjonowanie VTP: sprawdzić, czy przełączniki klienckie dysponują obecniek kompletem VLAN-ów zweryfikować status VTP na wybranym przełączniku poleceniem show vtp status wywołać zmianę wersji (revision) konfiguracji poprzez dodanie nowego VLAN-a na przełączniku-serwerze i zweryfikować ponownie d) Uzupełnić przypisania portów do VLAN-u C36 na przełącznikach Prawo-1 i Prawo-2 13. Routing pomiędzy sieciami VLAN a) Zmodyfikować schemat adresacji w obszarze poprzez implementację podsieci: hostom przypisanym do VLAN-u C24 przypisać podsieć 153.19.126.0 / 26 hostom przypisanym do VLAN-u C25 przypisać podsieć 153.19.126.64 / 26 hostom przypisanym do VLAN-u C36 przypisać podsieć 153.19.126.128 / 26 serwerom przypisanym do VLAN-u SerweryPrywatne przypisać podsieć 153.19.126.224 / 28 serwerom i routerowi przypisanemu do VLAN-u SerweryPubliczne przypisać podsieć 153.19.126.240 / 28 b) Skonfigurować połączenie pomiędzy przełącznikiem Serwerownia a routerem pod kątem routingu między sieciami VLAN: zmienić ustawienia portu na przełączniku tak, by był on portem trunkującym usunąć adres IP stosownego interfejsu routera wprowadzić w odniesieniu do każdego trunkowanego VLAN-u konfigurację na zasadzie analogii do zaprezentowanej poniżej
c) Kompleksowo przetestować komunikację pomiędzy hostami, wywodzącymi się z różnych VLAN-ów d) Dokonać filtracji ruchu pomiędzy VLAN-ami na routerze wg własnego uznania z wykorzystaniem list kontroli dostępu ACL