Подсказки
Ниже приводятся подсказки, доступные для этого упражнения.
Таблица 1. Сведения о настройках протокола IP.
|
Рабочая группа
|
IP-адрес интерфейса Fa0/0 маршрутизатора
|
IP-адрес компьютера
|
Маска подсети
|
Шлюз по умолчанию
|
|
A
|
192.168.2.1
|
192.168.2.11
|
255.255.255.0
|
192.168.2.1
|
|
B
|
192.168.3.1
|
192.168.3.11
|
255.255.255.0
|
192.168.3.1
|
|
C
|
192.168.4.1
|
192.168.4.11
|
255.255.255.0
|
192.168.4.1
|
|
D
|
192.168.5.1
|
192.168.5.11
|
255.255.255.0
|
192.168.5.1
|
|
E
|
192.168.6.1
|
192.168.6.11
|
255.255.255.0
|
192.168.6.1
|
|
F
|
192.168.7.1
|
192.168.7.11
|
255.255.255.0
|
192.168.7.1
|
|
G
|
192.168.8.1
|
192.168.8.11
|
255.255.255.0
|
192.168.8.1
|
|
H
|
192.168.9.1
|
192.168.9.11
|
255.255.255.0
|
192.168.9.1
|
Пароль для подключения к маршрутизатору через консольный порт
|
нет
|
Пароль «enable password» маршрутизатора
|
нет
|
Пароль «enable secret» маршрутизатора
|
нет
|
Пароль для подключения к маршрутизатору через линию VTY
|
нет
|
Таблица 2. Сведения о паролях на маршрутизаторе рабочей группы.
Задача 1: Начальный запуск маршрутизатора
В этой задаче необходимо подключиться к маршрутизатору, выполнить его запуск, ознакомиться с сообщениями, возникающими в процессе загрузки в окне ПО эмуляции терминала.
Порядок выполнения упражнения
Выполните следующие действия:
Соберите схему согласно иллюстрации задания.
Установите физическое соединение с маршрутизатором. Для этого один конец консольного кабеля подключит к порту COM1 компьютера рабочей группы, а другой конец консольного кабеля к консольному порту маршрутизатора.
Запустите приложение виртуального терминала HyperTerminal на рабочем компьютере. Для этого выберите Start > Programs > Accessories > Communications > HyperTerminal.
В качестве альтернативы инструктор может предложить воспользоваться другим ПО эмулятора терминала, например, свободно распространяемой программой Putty.
В окне Connection Description введите название сеанса в поле Name. Например, «Cisco».
В поле Connect using укажите порт компьютера, к которому подключен консольный кабель (COM1). Затем нажмите OK.
Выполните настройки порта COM1. Используйте значения, приведенные в данной таблице:
-
-
|
Параметр
|
Значение
|
|
Бит в секунду
|
9600
|
|
Биты данных
|
8
|
|
Четность
|
Нет
|
|
Стоповые биты
|
1
|
|
Управление потоком
|
Нет
|
Нажмите ОК.
Пример настройки:
Подключите маршрутизатор к электросети и переключите тумблер электропитания маршрутизатора в положение “ON”.
Проследите за сообщениями, появляющимися в окне эмулятора терминала в течение загрузки маршрутизатора. Вывод сообщений займет несколько минут, после чего появится приглашение к работе. Пример вывода сообщений:
*Apr 24 00:18:02.043: %SYS-5-RELOAD: Reload requested by cisco on console. Reload Reason: Reload Command.
System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2006 by cisco Systems, Inc.
Initializing memory for ECC
.
c2811 platform with 262144 Kbytes of main memory
Main memory is configured to 64 bit mode with ECC enabled
Upgrade ROMMON initialized
program load complete, entry point: 0x8000f000, size: 0xcb80
program load complete, entry point: 0x8000f000, size: 0xcb80
program load complete, entry point: 0x8000f000, size: 0x228d9f8
Self decompressing the image : ######################################################################################################################### [OK]
Smart Init is enabled
smart init is sizing iomem
ID MEMORY_REQ TYPE
0003E7 0X003DA000 C2811 Mainboard
0X00263F50 Onboard VPN
0X000021B8 Onboard USB
0X002C29F0 public buffer pools
0X00211000 public particle pools
TOTAL: 0X00B13AF8
If any of the above Memory Requirements are
"UNKNOWN", you may be using an unsupported
configuration or there is a software problem and
system operation may be compromised.
Rounded IOMEM up to: 12Mb.
Using 4 percent iomem. [12Mb/256Mb]
Restricted Rights Legend
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(12), RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Fri 17-Nov-06 12:02 by prod_rel_team
Image text-base: 0x40093160, data-base: 0x42B00000
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
export@cisco.com.
Cisco 2811 (revision 49.46) with 249856K/12288K bytes of memory.
Processor board ID FTX1108A3G8
2 FastEthernet interfaces
2 Low-speed serial(sync/async) interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity enabled.
239K bytes of non-volatile configuration memory.
62720K bytes of ATA CompactFlash (Read/Write)
--- System Configuration Dialog ---
Откажитесь от прохождения начальной настройки маршрутизатора в режиме конфигурационного диалога. Для этого введите no на вопрос: “Would you like to enter the initial configuration dialog?”. Дождитесь завершения вывода данных, после чего нажмите клавишу Entrer, чтобы получить приглашение. Пример:
Would you like to enter the initial configuration dialog? [yes/no]: no
Press RETURN to get started!
sslinit fn
*Apr 24 00:19:27.795: %VPN_HW-6-INFO_LOC: Crypto engine: onboard 0 State changed to: Initialized
*Apr 24 00:19:27.799: %VPN_HW-6-INFO_LOC: Crypto engine: onboard 0 State changed to: Enabled
*Apr 24 00:19:29.059: %LINEPROTO-5-UPDOWN: Line protocol on Interface VoIP-Null0, changed state to up
*Apr 24 00:19:29.059: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Apr 24 00:19:29.063: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Apr 24 00:19:29.063: %LINK-3-UPDOWN: Interface Serial0/0/0, changed state to down
*Apr 24 00:19:29.063: %LINK-3-UPDOWN: Interface Serial0/0/1, changed state to down
*Apr 24 00:19:30.483: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down
*Apr 24 00:19:30.483: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
*Apr 24 00:19:30.483: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to down
*Apr 24 00:19:30.483: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to down
*Apr 24 00:19:32.295: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
*Apr 24 00:19:32.323: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
*Apr 24 00:29:25.479: %IP-5-WEBINST_KILL: Terminating DNS process
*Apr 24 00:29:26.659: %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to administratively down
*Apr 24 00:29:26.659: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down
*Apr 24 00:29:26.659: %LINK-5-CHANGED: Interface Serial0/0/0, changed state to administratively down
*Apr 24 00:29:26.659: %LINK-5-CHANGED: Interface Serial0/0/1, changed state to administratively down
*Apr 24 00:29:26.991: %SYS-5-RESTART: System restarted --
Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(12), RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Fri 17-Nov-06 12:02 by prod_rel_team
*Apr 24 00:29:26.995: %SNMP-5-COLDSTART: SNMP agent on host Router is undergoing a cold start
*Apr 24 00:29:27.203: %SYS-6-BOOTTIME: Time taken to reboot after reload = 684 seconds
*Apr 24 00:29:27.383: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF
*Apr 24 00:29:27.659: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down
*Apr 24 00:29:27.659: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
Router>
Проверка упражнения
Задание считается выполненным, если достигнуты следующие результаты:
выполнено подключение к маршрутизатору;
выполнена загрузка маршрутизатора;
отклонено использование диалогового режима начальной загрузки.
Задача 2: Использование контекстной справки
В этой задаче необходимо ознакомиться с использованием контекстной справки в пользовательском и привилегированном режиме EXEC для поиска нужной команды и получения информации о синтаксисе команды.
Порядок выполнения упражнения
Выполните следующие действия:
Введите команду ?. На экране будет отображен список команд доступных в пользовательском режиме EXEC и их описание. Пример:
Exec commands:
access-enable Create a temporary Access-List entry
clear Reset functions
connect Open a terminal connection
..
..Текст пропущен
..
set Set system parameter (not config)
show Show running system information
ssh Open a secure shell client connection
systat Display information about terminal lines
telnet Open a telnet connection
--More--
Нажмите на клавишу ПРОБЕЛ для продолжения или завершения списка.
Войдите в привилегированный режим EXEC. Для этого наберите команду enable и нажмите клавишу ENTER.
Для того чтобы интерпретатор команд EXEC выполнил команду, ввод команды нужно завершать нажатием клавиши ENTER.
Заметьте, что приглашение изменилось – вместо приглашения пользовательского режима EXEC маршрутизатора “Router>”, теперь используется привилегированный режим EXEC - “Router#”.
Введите команду ?. На экране будет отображен список команд доступных в привилегированном режиме EXEC и их описание.
На экране в конце списка команд появится слово “--More--”. Это означает, что список выведен не полностью. Для пролистывания списка поэкранно используйте клавишу ПРОБЕЛ, для пролистывания списка построчно используйте клавишу ENTER. Для возврата в командную строку нажмите клавишу q.
Введите команду clock ?. Появится контекстная справка, которая показывает возможное продолжение команды clock. Пример вывода:
Router#clock ?
set Set the time and date
Задайте текущую дату и время на маршрутизаторе. Используйте контекстную справку для выполнения этой задачи.
Находясь в привилегированном режиме EXEC, введите sh?. Появится другой пример контекстной справки – список команд, которые начинаются с введенной последовательности символов. Пример вывода:
Router#sh?
show
Нажмите клавишу Tab. Когда введено достаточное количество букв, нажатие на клавишу Tab позволяет автоматически ввести оставшуюся часть команды с добавлением пробела, что позволяет указать дополнительные операторы или параметры в команде.
Введите команду show clock. На экране появится информация о текущей дате и времени в соответствии с настройкой, выполненной в действии 8. Пример вывода:
Router#show clock
10:45:25.073 UTC Tue Dec 8 2009
Проверка упражнения
Задание считается выполненным, если достигнут следующий результат:
были просмотрены возможности использования контекстной справки.
Задача 3: Изменение неправильно введенной команды
В этой задаче будут применены расширенные функции редактирования ПО Cisco IOS для исправления ошибок в командной строке.
Порядок выполнения упражнения
Выполните следующие действия:
Находясь в привилегированном режиме EXEC, введите заведомо неправильную команду:
Router#comfigure terminal
^
% Invalid input detected at '^' marker.
Ошибки в командной строке, как правило возникают в результате опечаток пользователя. Если при наборе команды, оператора или параметра была допущена ошибка, то маршрутизатор сообщит о ней при помощи символа '^', поместив его под ошибкой.
Введите заведомо неправильную команду после восклицательного знака (!) и нажмите на ENTER:
Router#!comfigure terminal
Router#
Восклицательный знак (!) перед строкой текста указывает маршрутизатору на ввод комментария. При выполнении данной строки интерпретатор будет игнорировать любой текст, идущий после символа “!”, поэтому сообщение об ошибке не будет выведено на экран.
Обратитесь к буферу истории команд для вызова заведомо неправильной команды из памяти маршрутизатора. Используйте комбинацию клавиш Ctrl-P или нажмите клавишу управления курсором «Стрелка вверх», для просмотра предыдущей строки.
Для исправления неправильной команды используйте клавиатурные комбинации Ctrl-A, Ctrl-F, Ctrl-E и Ctrl-B или клавиши управления курсором для перемещения по строке и клавишу BACKSPACE для удаления ненужных символов. Исправив команду, нажмите клавишу ENTER:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#
Обратите внимание, что строка приглашения изменилась - Router(config)#. Такое приглашение означает, что пользователь работает в режиме глобальной конфигурации.
Проверка упражнения
Задание считается выполненным, если достигнут следующий результат:
■ встроенный редактор и соответствующие клавиши для перемещения курсора были использованы для исправления ошибки в неправильно введенной команде.
.
Задача 4: Оптимизация работы в CLI маршрутизатора
В этой задаче будут применены команды для оптимизации использования интерфейса командной строки (CLI). Необходимо увеличить число строк в буфере журнала, увеличить значение таймера бездействия порта консоли и запретить разрешение имен при неверном вводе команд.
Порядок выполнения упражнения
Выполните следующие действия:
Вернитесь из режима глобальной конфигурации в привилегированный режим EXEC с помощью команды exit:
Router(config)#exit
%SYS-5-CONFIG_I: Configured from console by console
Router#
Введите команду show terminal. Вывод должен выглядеть следующим образом (некоторые строки были удалены для компактности представления). Пример вывода:
Router#sh terminal
Line 0, Location: "", Type: ""
Length: 24 lines, Width: 80 columns
Baud rate (TX/RX) is 9600/9600, no parity, 2 stopbits, 8 databits
..
..Текст пропущен
..
Editing is enabled.
History is enabled, history size is 10.
DNS resolution in show commands is enabled
Full user help is disabled
Allowed input transports are none.
Allowed output transports are telnet ssh.
Preferred transport is telnet.
No output characters are padded
No special data dispatching characters
Размер буфера журнала равен 10 строк. Это значит, что в памяти маршрутизатора сохраняются десять последних введенных команд. Это значение можно изменить с помощью команды terminal history size 100. Однако, эту команду придеться вводить после каждого выхода и повторного входа в систему коммутатора, поскольку такая настройка будет действительна только в течение текущей терминальной сессии. Если существует необходимость постоянного использования отличного от значения по умолчания размера буфера истории команд, то следует задать это значение в режиме настройки консоли и линий VTY.
Для перехода в режим глобальной конфигурации введите команду config t и нажмите клавишу ENTER.
Для переключения в режим настройки консольной линии введите команду line console 0 и нажмите клавишу ENTER. Обратите внимание на изменение приглашения маршрутизатора в командной строке:
Router(config)# line console 0
Router(config-line)#
Для изменения размера буфера истории команд на консольной линии введите команду history size 100 и нажмите клавишу ENTER.
В режиме консольной линии рекомендуется увеличить значение таймаута EXEC с 15 до 60 минут. Таким образом, если активность на терминале не фиксируются в течение 60 минут (нет нажатия клавиш на клавиатуре), произойдет автоматическое отключение из текущего сеанса управления маршрутизатором.
Введите команду exec-timeout 60 и нажмите клавишу ENTER.
Введите команду logging synchronous и нажмите клавишу ENTER для синхронизации вывода выдаваемых на экран служебных и отладочных сообщений интерпретатора команд EXEC с данными, запрошенными пользователем и приглашениями линии консольного порта.
Перейдите в режим настройки линии VTY. Для этого введите команду line vty 0 4 и нажмите клавишу ENTER. В данной команде указывается диапазон линий VTY (от 0 до 4 линии), поскольку требуется настроить одинаковые параметры на нескольких линиях.
В разных версиях ПО Cisco IOS количество доступных линий VTY может быть различным. Как минимум, доступно пять линий VTY.
Для изменения размера буфера истории команд на линиях VTY введите команду history size 100 и нажмите клавишу ENTER.
Введите команду logging synchronous и нажмите клавишу ENTER для включении синхронизации на линиях VTY.
Для возврата в режим глобальной конфигурации введите команду exit.
Введите команду no ip domain-lookup и нажмите клавишу ENTER, чтобы отключить разрешение символьных имен.
Вернитесь в привилегированный режим (enable EXEC), выполнив команду exit.
Повторно вызовите просмотр параметров буфера истории команд с помощью команды show terminal. Пример вывода:
Router#sh term
Line 0, Location: "", Type: ""
Length: 24 lines, Width: 80 columns
Baud rate (TX/RX) is 9600/9600, no parity, 2 stopbits, 8 databits
..
..Текст пропущен
..
Editing is enabled.
History is enabled, history size is 100.
DNS resolution in show commands is enabled
Full user help is disabled
Allowed input transports are none.
Allowed output transports are telnet ssh.
Preferred transport is telnet.
No output characters are padded
No special data dispatching characters
Для просмотра рабочей конфигурации, находящейся в оперативной памяти маршрутизатора, выполните команду show running-config. Используйте клавишу ПРОБЕЛ для поэкранного пролистывания вывода информации.
Проверка упражнения
Задание считается выполненным, если достигнуты следующие результаты:
для таймаута бездействия порта консоли задано значение 60 минут;
размер буфера журнала имеет значение 100 строк для линий VTY и консоли;
для линий VTY и консоли настроена функция logging synchronous;
отключено разрешение символьных имен устройств в IP-адреса.
Задача 5: Настройка имени маршрутизатора и баннера входа
В этой задаче будут применены команды для настройки имени маршрутизатора, паролей доступа, баннера входа и параметров интерфейса.
Порядок выполнения упражнения
Выполните следующие действия:
Войдите в режим глобальной конфигурации из привилегированного режима, используя команду config t.
Настройте имя на маршрутизаторе рабочей группы. Для этого используйте команду hostname RouterX, где X – название рабочей группы. Пример выполнения команды:
Router(config)# hostname RouterA
RouterA(config)#
Настройте баннер входа. Когда пользователь пытается получить доступ к сетевому устройству (коммутатору, маршрутизатору и т. д.), должно появляться сообщение, явно указывающее на ограничение доступа. Это сообщение можно создать с помощью команды banner motd в режиме глобальной конфигурации.
В режиме глобальной конфигурации введите команду banner motd %. Знак процента будет использован в качестве символа, открывающего сообщения. Вместо знака процента можно использовать любой другой символ - главное, чтобы этого символа не было в тексте самого сообщения.
После знака % введите текст сообщения. В процессе набора сообщения можно использовать клавишу ENTER для перехода на новую строку. После набора текста сообщения используйте знак % в качестве символа, закрывающего сообщение и нажмите клавишу ENTER. Пример выполнения команды:
RouterX#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterX(config)#banner login %
Enter TEXT message. End with the character '%'.
********** Warning *************
Access to this device is restricted to authorized persons only!
Un-authorized access is prohibited. Violators will be prosecuted.
**************************************************************^C
Вернитесь в привилегированный режим, выполнив команду end.
Для просмотра текущей конфигурации, находящейся в оперативной памяти маршрутизатора, выполните команду show running-config. Если потребуется, используйте клавишу ПРОБЕЛ для поэкранного пролистывания вывода информации. Ниже приведен фрагмент вывода на экран, который относится к конфигурации баннера. Обратите внимание, что ограничитель текста заменен нетекстовым управляющим символом ^С:
!
banner login ^C
********** Warning *************
Access to this device is restricted to authorized persons only!
Un-authorized access is prohibited. Violators will be prosecuted.
**************************************************************^C
!
Выполните команду logout для завершения сеанса связи с маршрутизатором через консольный порт. Затем снова выполните подключение для проверки работы баннера. Если баннер настроен правильно, то на экране будет примерно следующее:
RouterX#logout
RouterX con0 is now available
Press RETURN to get started.
********* Warning *************
Access to this device is restricted to authorized persons only!
Un-authorized access is prohibited. Violators will be prosecuted.
**************************************************************
RouterX>
Проверка упражнения
Задание считается выполненным, если достигнуты следующие результаты:
настроено имя маршрутизатора;
было успешно настроено баннерное сообщения для входа в систему, в котором явно указано, что доступ к маршрутизатору ограничен;
была выполнена проверка работоспособности баннерного сообщения.
Задача 6: Защита доступа на маршрутизатор с помощью паролей
В этой задаче будут применены команды для настройки паролей, защищающих доступ в сеанс управления маршрутизатором и в привилегированный режим.
Порядок выполнения упражнения
Выполните следующие действия:
Войдите в привилегированный режим EXEC. Для этого наберите команду enable и нажмите клавишу ENTER.
Войдите в режим глобальной конфигурации из привилегированного режима, используя команду config t.
Используя команду enable password, настройте защиту доступа в привилегированный режим с помощью пароля, хранящегося в конфигурации маршрутизатора в незашифрованном виде. В качестве пароля используйте слово cisco:
RouterX(config)# enable password cisco
RouterX(config)#
Для лучшей защищенности доступа в привилегированный режим следует применять зашифрованный пароль. Для этого применяется команда enable secret. Пароль, заданный при помощи этой команды будет храниться в конфигурации маршрутизатора в зашифрованном виде. Для шифрования пароля применяется алгоритм MD5.
Используя команду enable secret, настройте пароль sanfran.
RouterX(config)# enable secret sanfran
RouterX(config)#
Для возврата в привилегированный режим выполните команду exit.
Для перехода в пользовательский режим используйте команду disable.
Попытайтесь войти в привилегированный режим маршрутизатора (команда enable). На экране появится предложение ввести пароль.
Какой пароль следует ввести? _____________________________________
Введите пароль для перехода в привилегированный режим и нажмите клавишу ENTER. Войдите в режим глобальной конфигурации из привилегированного режима, используя команду config t.
Переключитесь в режим настройки консольной линии с помощью команды line console 0.
Настройте пароль sanjose для доступа через консольный порт в сеанс управления маршрутизатором. Для этого используйте команду password:
RouterX(config-line)#password sanjose
Введите команду login, чтобы в будущем для доступа к маршрутизатору через консоль запрашивался пароль:
Router1(config-line)# login
Перейдите в режим настройки линии VTY, используя команду line vty 0 4.
Настройте пароль sanjose для доступа через линии VTY в сеанс управления маршрутизатором. Для этого используйте команду password:
RouterX(config-line)#password sanjose
Введите команду login, чтобы в будущем для доступа к маршрутизатору через линии VTY запрашивался пароль:
RouterX(config-line)# login
Проверьте работоспособность пароля, установленного для защиты доступа через консольную линию. Выполните команду end для перехода в привилегированный режим EXEC. Затем выполните команду logout для отключения из текущего сеанса управления маршрутизатором. Восстановите сеанс управления, нажав на клавишу ENTER. В ответ на приглашения ввода пароля введите sanjose. Если предыдущие действия выполнены верно, то на экране возникнет приглашение пользовательского режима. Пример:
RouterX#logout
..
.. Текст пропущен
..
RouterX con0 is now available
Press RETURN to get started.
..
..Текст пропущен
..
User Access Verification
Password:
RouterX>
Проверка работоспособности пароля, установленного для защиты доступа через линии VTY, будет проведена позже.
Перейдите в привилегированный режим интерпретатора EXEC, используя команду enable.
Выполните команду show running-config для просмотра текущей конфигурации. В отображенной конфигурации найдите информацию обо всех настроенных ранее паролях. Пример вывода текущей конфигурации:
enable secret 5 $1$.dET$BDxkofHF3aAsRthe/c0.c.
enable password cisco
..
..Текст пропущен
..
line con 0
password sanjose
login
line aux 0
line vty 0 4
password sanjose
login
!
Обратите внимание, что часть паролей хранится в незашифрованном виде. Это снижает защищенность маршрутизатора.
Проверка упражнения
Задание считается выполненным, если достигнуты следующие результаты:
на маршрутизаторе настроены пароли для доступа в привилегированный режим интерпретатора EXEC;
на маршрутизаторе настроены пароли, защищающие доступа в сеанс управления через линии консоли и VTY;
пароли (кроме зашифрованного) хранятся в конфигурации открытым текстом;
процесс входа в систему и доступ к консоли с использованием пароля был проведен успешно.
Задача 7: Включение службы шифрования паролей на маршрутизаторе
В задаче 6 было обнаружено, что некоторые пароли хранятся в незашифрованном виде. При передаче и сохранении данной конфигурации в удаленных файловых системах могут возникать проблемы безопасности. В этой задаче необходимо настроить службу шифрования паролей для защиты незашифрованных паролей.
Порядок выполнения упражнения
Выполните следующие действия:
Войдите в привилегированный режим EXEC.
Войдите в режим глобальной конфигурации маршрутизатора.
Выполните команду service password-encryption.
Вернитесь в привилегированный режим EXEC.
Выполните команду просмотра текущей конфигурации. Обратите внимание на строки конфигурации, содержащие информацию о паролях:
RouterX#show running-config
Building configuration...
Current configuration : 940 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
..
..Текст пропущен
..
enable secret 5 $1$.dET$BDxkofHF3aAsRthe/c0.c.
enable password 7 14141B180F0B
..
..Текст пропущен
..
!
!
line con 0
password 7 051807012B435D0C
login
line aux 0
line vty 0 4
password 7 051807012B435D0C
login
!
scheduler allocate 20000 1000
!
end
Проверка упражнения
Задание считается выполненным, если достигнуты следующие результаты:
включена служба шифрования паролей;
в выводе текущей конфигурации удалось обнаружить зашифрованные пароли, которые до включения службы шифрования паролей отображались открытым текстом.
Задача 8: Настройка интерфейса Fast Ethernet на маршрутизаторе
В задаче 6 было обнаружено, что некоторые пароли хранятся в незашифрованном виде. При передаче и сохранении данной конфигурации в удаленных файловых системах могут возникать проблемы безопасности. В этой задаче необходимо настроить службу шифрования паролей для защиты незашифрованных паролей.
Порядок выполнения упражнения
Выполните следующие действия:
Войдите в режим глобальной конфигурации маршрутизатора.
Используя команду interface fa0/0, переключитесь в режим настройки интерфейса FastEthernet0/0 маршрутизатора:
RouterX(config)#interface fa0/0
RouterX(config-if)#
Для интерфейса FastEthernet0/0 с помощью команды description задайте описание «Connection to workgroup switch»:
Router1(config-if)# description Connection to workgroup switch
Для интерфейса FastEthernet0/0 с помощью команды ip address задайте IP-адрес (см. таблицу 1 данной лабораторной работы). Пример выполнения команды:
RouterX(config-if)#ip address 192.168.10.1 255.255.255.0
Включите интерфейс FastEthernet0/0 с помощью команды no shutdown:
RouterX(config-if)#no shutdown
*Mar 24 19:58:59.602: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/0, changed state to up
Используя таблицу 1 данной лабораторной работы, настройте на рабочем компьютере маску подсети и шлюз по умолчанию. Заметьте, что в роли шлюза по умолчанию будет выступать маршрутизатор рабочей группы.
Используя командную строку ОС Windows, с помощью команды ping проверьте достижимость маршрутизатора рабочей группы.
Проверьте возможность подключения к маршрутизатору рабочей группы через линию VTY посредством приложения Telnet. Для этого, находясь в командной строке ОС Windows, введите команду telnet 192.168.x.1, где x – соответствующее значение из таблицы 1 данной лабораторной работы. Пример подключения посредством Telnet к маршрутизатору:
Проверьте работоспособность пароля, установленного для защиты доступа через линии VTY. Какой пароль нужно ввести для входа в пользовательский режим EXEC маршрутизатора?__________________________
Пример выполнения данного действия:
Отключитесь из сеанса Telnet с маршрутизатором (команда logout).
Закройте окно командной строки ОС Windows.
Переключитесь в окно эмулятора терминала. Если таймаут неактивности на терминале истек, установите соединение с маршрутизатором заново и выполните переход в привилегированный режим EXEC.
Выполните команду просмотра текущей конфигурации. Найдите информацию о настройках интерфейса. Пример части вывода текущей конфигурации:
!
interface FastEthernet0/0
description Connection to workgroup switch
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto
!
Выполните команду просмотра стартовой конфигурации маршрутизатора show startup-config. Пример выполнения команды:
RouterX#show startup-config
startup-config is not present
Из данного примера видно, что стартовая конфигурация не представлена. Следовательно, при перезагрузке маршрутизатора все сделанные изменения в его настройке будут потеряны.
Выполните сохранение текущей конфигурации маршрутизатора в памяти NVRAM. Для этого в привилегированном режиме EXEC выполните команду copy running-config startup-config.
Выполните команду просмотра стартовой конфигурации маршрутизатора, сохраненной в памяти NVRAM, используя команду show startup-config. Убедитесь, что стартовая конфигурация соответствует текущей.
Проверка упражнения
Задание считается выполненным, если достигнуты следующие результаты:
выполнена настройка интерфейса маршрутизатора FastEthernet 0/0;
проверено защищенное паролем подключение к маршрутизатору через линию VTY.
Задача 9: Включение протокола SSH для удаленного управления
Если процесс удаленного управления основан на протоколе Telnet, который отправляет все символы, включая пароли, в незашифрованном виде, существует потенциальная опасность перехвата пакета и неправомерного использования информации. В этой задаче необходимо настроить протокол SSH, который является альтернативой протоколу Telnet. Если возможно, всегда используйте для удаленного управления протокол SSH вместо Telnet.
Порядок выполнения упражнения
Выполните следующие действия:
Войдите в привилегированный режим EXEC.
Переключитесь в режим глобальной конфигурации маршрутизатора.
Протокол SSH требует настройки параметров аутентификации - имени пользователя и пароля. Выполните команду username netadmin password netadmin. Эта команда создает строку аутентификации пользователя netadmin с паролем netadmin.
Для использования протокола SSH требуется наличие настроенного имени маршрутизатора (было задано ранее) и сгенерированного криптографического ключа. Для генерации этого ключа выполните команду ip domain-name <�имя-домена>. Обычно используется имя домена организации, в которой работает маршрутизатор, но в этой лабораторной работе будет использоваться имя домена cisco.com.
Теперь выполните команду crypto key generate rsa. В запросе на выбор размера ключа введите 1024. Пример:
RouterX(config)#username netadmin password netadmin
RouterX(config)#ip domain-name cisco.com
RouterX(config)#crypto key generate rsa
The name for the keys will be: RouterX.cisco.com
Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
RouterX(config)#
*Mar 16 20:32:15.613: %SSH-5-ENABLED: SSH 1.99 has been enabled
Выполните команду ip ssh version 2, чтобы включить вторую версию SSH, которая является более защищенной по сравнению с первой версией.
Переключитесь в режим настройки линий VTY маршрутизатора. Для этого выполните команду line vty 0 4.
Выполните команду login local. Эта команда обеспечивает проверку пользователя по локальной базе данных записей аутентификации.
Выполните команду transport input telnet ssh. Эта команда включает на всех пяти линиях VTY поддержку обоих протоколов: Telnet и SSH. Пример настройки:
RouterX(config)#line vty 0 4
RouterX(config-line)#login local
RouterX(config-line)#transport input telnet ssh
Выполните команду для возвращения в привилегированный режим EXEC.
Выполните команду show ip ssh. Пример выполнения команды:
RouterX#show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3
Для проверки выполненной настройки необходимо выполнить подключение к маршрутизатору по протоколу SSH.
На рабочем столе ОС Windows дважды щелкните по ярлыку ПО эмулятора терминала Putty:
Для создания SSH-подключения используйте IP-адрес маршрутизатора рабочей группы (см. таблицу 1), а также имя пользователя и пароль, заданные при выполнении действия 3 этой задачи. Пример:
Пример успешного выполнения подключения к маршрутизатору по протоколу SSH:
Закройте окно SSH-подключения и переключитесь в окно консольного подключения эмулятора терминала к маршрутизатору.
Выполните сохранение текущей конфигурации маршрутизатора в памяти NVRAM. Для этого в привилегированном режиме EXEC выполните команду copy running-config startup-config.
Сверните окно ПО эмулятора терминала.
Проверка упражнения
Задание считается выполненным, если достигнуты следующие результаты:
выполнена настройка протокола SSH 2 на линиях VTY маршрутизатора;
проведена проверка подключения к маршрутизатору по протоколу SSH;
выполнено сохранение конфигурации на маршрутизаторе.
|
