UIS 1

dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/

dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl

UIS (Utrzymanie Infrastruktury Sieciowej)

UIS 2

UIS

Wybrane urządzenia sieciowe:

Switch

Router

Firewall

Wybrana topologia:

DLACZEGO?

subinterfaces, trunk

OUTSIDE

212.191.89.128 / 25

172.18.0.0 / 16

outside

security-level 0

dmz

security-level 50

10.10.0.0 / 16

VLAN Dyrekcja

sec.lev.8510.20.0.0 / 16

VLAN Pracownicy

sec.lev.80

10.2.0.0 / 16

VLAN Admin

sec.lev.95

Połączony model sieci

UIS 3

ZiMSK - sieć laboratoryjna

Plan zajęć: Budowa sieci, „czyszczenie”

urządzeń

Podstawy konfiguracji (interfejsy)

Zarządzanie konfiguracjami

Routing dynamiczny i statyczny

Translacja adresów

VLAN, trunking, inter-VLAN routing

Zarządzanie konfiguracją urządzeń

(tryb tekstowy i graficzny)

Filtrowanie pakietów

Bezpieczeństwo portów

authentication-proxy

Konfiguracja 802.1x

Syslog

SNMP

DHCP

UIS 4

subinterfaces, trunk

OUTSIDE

212.191.89.128 / 25

172.18.0.0 / 16

79.96.21.160 / 28

outside

security-level 0

dmz

security-level 50

10.10.0.0 / 16

VLAN Dyrekcja

sec.lev.8510.20.0.0 / 16

VLAN Pracownicy

sec.lev.80

10.2.0.0 / 16

VLAN Admin

sec.lev.95

UIS - sieć laboratoryjna

UIS 5

Plan zajęć: konsola uwierzytelnianie – serwer AAA

enable uwierzytelnianie – serwer AAA

poziomy uprzywilejowania

privilege levels

ssh - router, switch, ASA

dostęp do router, switch, ASA - ze świata zewnętrznego

A - było na WinRadius

A - będzie na ACS

A - będzie na ACS

Syslog + NTP

odzyskiwanie konfiguracji przy braku hasła (serwera AAA)

upgrade, downgrade IOS (router, switch, ASA)

recovery IOS (router, switch, ASA)

subinterfaces, trunk

OUTSIDE

212.191.89.128 / 25

172.18.0.0 / 16

outside

security-level 0

dmz

security-level 50

10.10.0.0 / 16

VLAN Dyrekcja

sec.lev.8510.20.0.0 / 16

VLAN Pracownicy

sec.lev.80

10.2.0.0 / 16

VLAN Admin

sec.lev.95

UIS 6

Switch

Catalyst 8500 series

Catalyst 2950 series

IGX 8400 series

Catalyst 4000 series

Wydajność

Skalowalność

Obsługiwane

technologie

Uniwersalność

Rodziny przełączników Cisco

UIS 7

UIS 8

Urządzenie warstwy 3 – Router

UIS 9

Urządzenie warstwy 3 – Router

UIS 10

ASA

UIS 11

ASA

12 UIS

UIS 13

ASA

UIS 14

Symbole graficzne urządzeń

UIS 15

Wspólne: Switch, Router, Firewall

Etapy uruchamiania urządzenia:

Zmiany w topologii ZiMSK

Przyłączenie do świata zewnętrznego (poprzez sieć laboratoryjną).

Co jest potrzebne aby naszą sieć przyłączyć do świata zewnętrznego / sieci laboratoryjnej?

UIS 16

NAT (SNAT) - Router

UIS 17

subinterfaces, trunk

OUTSIDE

212.191.89.128 / 25

172.18.0.0 / 16

outside

security-level 0

dmz

security-level 50

10.10.0.0 / 16

VLAN Dyrekcja

sec.lev.8510.20.0.0 / 16

VLAN Pracownicy

sec.lev.80

10.2.0.0 / 16

VLAN Admin

sec.lev.95

212.191.89.0/ 25

access-list 1 permit 212.191.89.128 0.0.0.127 ip nat pool IISpool 212.191.89.1 212.191.89.1 netmask 255.255.255.128 ip nat inside source list 1 pool IISpool overload

212.191.89.128/ 25

interface FastEthernet0/0 ip nat outside

interface FastEthernet0/1 ip nat inside

Zmiany w topologii ZiMSK

Zewnętrzny serwer DHCP

Większe możliwości konfiguracji, wspólny dla wielu sieci.

UIS 18

DHCP w sieci laboratoryjnej

UIS 19

OUTSIDE

10.0.0.0/8

192.168.1.0/24

176.16.0.0/16

200.200.200.0/24

outsidesecurity- level 0

dmz

security- level 50

insidesecurity- level 100

10.10.0.0/16

10.20.0.0/16

VLAN 10

VLAN 20

VLAN1

10.1.0.0/16

Serwery DHCP:

ASA / PIX

Router

Dedykowany serwer

UIS 20

DHCP

DHCP – Dynamic Host Configuration Protocol:

RFC 2131.

Architektura klient – serwer.

Automatyczna konfiguracja węzłów sieci.

Minimalizacja nakładów przy konfiguracji sieci IP.

Wiele konfigurowalnych przez DHCP parametrów (oczywiście IP najważniejsze).

Protokół warstwy 7 (aplikacji).

W warstwie 4 (transportowej) korzysta z UDP.

Klient wysyła komunikaty do serwera na port 67.

Serwer wysyła komunikaty do klienta na port 68.

UIS 21

DHCP

Klient DHCP (dynamiczna konfiguracja węzła): Windows,

Novell Netware,

Sun Solaris,

Linux,

MAC OS.

Uwaga: Urządzenia sieciowe takie jak routery, przełączniki czy serwery powinny mieć przydzielone statyczne adresy IP.

UIS 22

DHCP – przydzielanie adresów

UIS 23

DHCP – zasada działania

UIS 24

DHCP – zasada działania

UIS 25

Format komunikatu DHCP

0 1 2 3 4 5 6 7 8 9 1

0

1

1

1

2

1

3

1

4

1

5

1

6

1

7

1

8

1

9

2

0

2

1

2

2

2

3

2

4

2

5

2

6

2

7

2

8

2

9

3

9

3

1

OPERACJA TYP SPRZĘTU DŁ. ADRESU SPRZ. ETAPY

IDENTYFIKATOR TRANSAKCJI

SEKUNDY ZNACZNIKI

ADRES IP KLIENTA

TWÓJ ADRES IP

ADRES IP SERWERA

ADRES IP ROUTERA

ADRES SPRZĘTOWY KLIENTA (16 oktetów)

...

NAZWA WĘZŁA SERWERA (64 oktety)

...

NAZWA PLIKU STARTOWEGO (128 oktetów)

...

OPCJE (zmienna długość)

...

UIS 26

Format komunikatu DHCP

Opis pól:

OPERACJA: Określa czy komunikat jest prośbą startową – 1 czy odpowiedzią startową – 2;

TYP SPRZĘTU: Typ sprzętu sieciowego (Ethernet – 1);

DŁUGOŚĆ ADRESU SPRZĘTOWEGO: Długość adresu sprzętowego (Ethernet – 6);

ETAPY: Klient wpisuje zero. Każde przekazanie tej prośby do innego serwera powoduje zwiększenie licznika o jeden.

IDENTYFIKATOR TRANSAKCJI: Liczba całkowita służąca do związania odpowiedzi z pytaniem;

SEKUNDY: Liczba sekund od startu klienta;

Od ADRES IP KLIENTA do NAZWA PLIKU STARTOWEGO: Pola, których wartości klient nie jest w stanie podać wypełnia zerami. Serwer wypełnia pola informacjami przeznaczonymi dla klienta (jeśli ADRES IP KLIENTA = 0 wtedy serwer wypełnia pole TWÓJ ADRES IP);

UIS 27

Format komunikatu DHCP - Opcje

Aby określić, który z komunikatów DHCP jest wysyłany należy następująco ustalić opcje:

KOD = 53;

DŁUGOŚĆ = 1;

WARTOŚĆ = 1 – 7; 1 – DHCPDISCOVER

2 – DHCPOFFER

3 – DHCPREQUEST

4 – DHCPDECLINE

5 – DHCPACK

6 – DHCPNACK

7 – DHCPRELEASE

KOD DŁUGOŚĆ WARTOŚĆ

DHCP Relay (przekazanie DHCP)

Standardowo serwer DHCP umieszczony jest w tej samej sieci co jego klienci. Jednak w złożonych środowiskach sieciowych gdzie wydzielonych jest wiele podsieci oznaczałoby to konieczność instalowania wielu serwerów DHCP. Rozwiązaniem tego problemu jest umieszczenie jednego serwera DHCP obsługującego wiele sieci (podsieci). W takiej koncepcji pojawia się jednak kolejny problem: zapytania DHCP (DHCPDISCOVER) wysyłane są przez klienta rozgłoszeniowo (broadcast), gdyż nie zna on konfiguracji sieci w momencie przyłączania do niej, a ruch rozgłoszeniowy jest standardowo filtrowany przez urządzenia L3 łączące sieci (podsieci) ze sobą.

W związku z tym wprowadzono usługę pozwalającą na przesyłanie ruchu protokołu DHCP pomiędzy sieciami (podsieciami). Nazywa się ona DHCP Relay.

UIS 28

DHCP Relay (przekazanie DHCP)

UIS 29

DHCP Serwer

UIS 30

Pokazać na podstawie jakiej informacji w pakiecie DHCPDISCOVER serwer

DHCP decyduje o użytej puli adresowej (np. za pomocą Wireshark).

Konfiguracja DHCP Relay

UIS 31

•Podać adres IP serwera DHCP oraz nazwę sieci, w której się znajduje:

ASA(config)# dhcprelay server adres_IP sieć

•Włączyć usługę DHCP Relay dla wybranej sieci (na wybranym interfejsie): ASA(config)# dhcprelay enable sieć

•Zmienić domyślny adres IP w odpowiedzi serwera DHCP (DHCP reply) na adres IP wybranego interfejsu:

ASA(config)# dhcprelay setroute sieć

•Wprowadzić maksymalny czas odpowiedzi:

ASA(config)# dhcprelay timeout czas

Weryfikacja DHCP Relay

UIS 32

•Sprawdzić wymianę pakietów pomiędzy klientem DHCP, ASA a serwerem DHCP:

ASA# debug dhcprelay packet

ASA# debug dhcprelay event

IOS

Zarządzanie systemami operacyjnymi:

Switch

Router

ASA

IOS upgrade / downgrade

IOS recovery

UIS 33

UIS 34

Usuwanie hasła

Procedura usuwania hasła (konfiguracji): Sprawdź, czy komputer jest podłączony do portu konsoli i czy

jest otwarte okno programu HyperTerminal.

Sprawdź czy zostały założone hasła:

naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty: Switch>

wpisz polecenie enable, czy pojawił się znak zachęty Switch#

Jeśli choć jeden z trybów nie jest dostępny należy usunąć hasło.

Wyłącz przełącznik. Włącz go ponownie, przytrzymując wciśnięty klawisz MODE, który znajduje się z przodu przełącznika. Zwolnij klawisz MODE, gdy zgaśnie dioda LED oznaczona etykietą STAT.

UIS 35

Usuwanie hasła

Procedura usuwania hasła (konfiguracji): Aby zainicjować system plików należy użyć następujących poleceń:

flash_init

load_helper

Wpisz polecenie dir flash: aby sprawdzić zawartość pamięci flash przełącznika. Plik o rozszerzeniu .bin to system operacyjny np. c2900xl-c3h2s-mz.120-5.WC7.bin. Plik o nazwie config.text to plik z konfiguracją urządzenia (także hasłami).

Zmień nazwę pliku konfiguracyjnego wpisując polecenie: rename flash:config.text flash:config.old

Wpisz polecenie boot, aby rozpocząć ładowanie systemu operacyjnego.

Aby pominąć tryb setup należy nacisnąć Crtl+C.

Sprawdź czy hasła zostały usunięte: naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Switch>

wpisz polecenie enable, czy pojawił się znak zachęty Switch#

Jeśli mamy prompt Switch# oznacza to iż hasła zostały usunięte.

UIS 36

Usuwanie konfiguracji

Kasowanie konfiguracji: (2960, 2950, 2900) Switch> enable Switch# erase startup-config Switch# delete flash:vlan.dat

UIS 37

Usuwanie hasła

(2600, 2800)

Sprawdź, czy komputer jest podłączony do portu konsoli i czy jest otwarte okno programu HyperTerminal.

Sprawdź czy zostały założone hasła:

naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Router>

wpisz polecenie enable, czy pojawił się znak zachęty Router#

Jeśli choć jeden z trybów nie jest dostępny należy usunąć hasło.

Wyłącz router. Włącz go ponownie.

Naciśnij kombinacje Crtl+Break aby przejść do trybu ROMMON.

Wpisz polecenie, które umożliwi pominięcie ładowania pliku konfiguracyjnego przy starcie systemu confreg 0x2142.

UIS 38

Usuwanie hasła

(2600, 2800)

Uruchom ponownie router, miękki restart, polecenie reset.

Router uruchomi się ale pominie plik konfiguracyjny.

Aby pominąć tryb setup należy nacisnąć Crtl+C.

Sprawdź czy hasła zostały usunięte:

naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Router>

wpisz polecenie enable, czy pojawił się znak zachęty Router#

Jeśli mamy prompt Router# oznacza to iż hasła zostały usunięte.

Przejdź do trybu config wprowadzając polecenie configure terminal.

Wprowadź polecenie config-register 0x2102 aby przywrócić wczytywanie pliku konfiguracyjnego przy starcie systemu.

UIS 39

Usuwanie konfiguracji

Kasowanie konfiguracji:

(2600, 2800)

Router> enable

Router# erase startup-config

Router# reload

System configuration has been modified. Save?

[yes/no]: n

Aby pominąć tryb setup należy nacisnąć Crtl+C.

UIS 40

Usuwanie hasła

(PIX 515E)

Sprawdź, czy komputer jest podłączony do portu konsoli i czy jest otwarte okno programu HyperTerminal.

Sprawdź czy zostały założone hasła:

naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Router>

wpisz polecenie enable, (przy pytaniu o hasło enter) czy pojawił się znak zachęty Router#

Jeśli choć jeden z trybów nie jest dostępny należy usunąć hasło.

Wyłącz pix. Włącz go ponownie.

Naciśnij kombinacje Crtl+Break aby przejść do trybu monitor.

UIS 41

Usuwanie hasła

(PIX 515E)

Skonfiguruj urządzenie tak aby można było pobrać z serwera TFTP plik

usuwający hasła:

Połącz host z serwerem TFTP z jeden z interfejsów Ethernet pix’a

Jeśli jest to interfejs 0 wpisz: interface 0

Nadaj adres IP temu interfejsowi: address 10.0.0.1

Podaj adres serwera TFTP (pamiętaj, że jego karta sieciowa musi być tak

skonfigurowana): server 10.0.0.2

Podaj nazwę pliku do odzyskiwania hasła (wersja pliku zależy od wersji

systemu): file np70.bin

Podaj adres bramy domyślnej: gateway 10.0.0.2

Sprawdź komunikację z serwerem: ping 10.0.0.2

Aby rozpocząć pobieranie pliku wydaj polecenie: tftp

Postępuj zgodnie z informacjami wyświetlanymi na konsoli, procedura

została zakończona.

UIS 42

Usuwanie hasła

(ASA 5510)

Power off the security appliance, and then power it on.

During the startup messages, press the Escape key when prompted to enter ROMMON.

To set the security appliance to ignore the startup configuration at reload, enter command:

rommon #1> confreg 0x40

Reload the security appliance by entering the following command:

rommon #2> boot

The security appliance loads a default configuration instead of the startup configuration.

Enter privileged EXEC mode by entering the following command:

hostname> enable

When prompted for the password, press Return.

The password is blank.

Erase startup-config

hostname# write erase

Enter global configuration mode by entering the following command:

hostname# configure terminal

Change the configuration register to load the startup configuration at the next reload by entering the following command:

hostname(config)# config-register 0x1

UIS 43

Usuwanie konfiguracji

Kasowanie konfiguracji:

(515E, 5510)

pix> enable

pix# configure terminal

pix(config)# write erase

- usunięcie zapisanej konfiguracji (startup-config)

pix(config)# clear configure all

- usunięcie bieżącej konfiguracji (running-config)

UIS 44

KONIEC

UIS (Utrzymanie Infrastruktury Sieciowej)