ZiMSK
Transkrypt
ZiMSK
ZiMSK dr inż. Łukasz Sturgulewski [email protected], http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń [email protected] ZiMSK - 2011 1 Wykład „Zarządzanie konfiguracją: switch router firewall” „Obsługa systemu IOS” „Uruchomienie sprzętu: podłączenie usunięcie konfiguracji i haseł kasowanie i zapisywanie konfiguracji” ZiMSK - 2011 2 Symbole graficzne urządzeń ZiMSK - 2011 3 Schemat sieci w laboratorium OUTSIDE 200.200.200.0/24 dmz security-level 50 outside security-level 0 192.168.1.0/24 inside security-level 100 176.16.0.0/16 10.0.0.0/8 ZiMSK - 2011 4 Zarządzanie konfiguracją urządzeń Tryb tekstowy Port konsolowy ZiMSK - 2011 5 Zarządzanie konfiguracją urządzeń Tryb tekstowy Port konsolowy ZiMSK - 2011 6 Zarządzanie konfiguracją urządzeń Tryb tekstowy Port konsolowy (HyperTerminal) ZiMSK - 2011 7 Zarządzanie konfiguracją urządzeń Tryb tekstowy Port konsolowy (Tera Term) ZiMSK - 2011 8 Zarządzanie konfiguracją urządzeń Tryb tekstowy Port konsolowy (Putty) ZiMSK - 2011 9 Zarządzanie konfiguracją urządzeń Tryb tekstowy TELNET, SSH ZiMSK - 2011 10 Zarządzanie konfiguracją urządzeń Tryb graficzny Switch: HTTP Manager Router: SDM Firewall: ASDM ZiMSK - 2011 11 Zarządzanie konfiguracją urządzeń Protokoły zarządzania SNMP v1, v2, v3 ZiMSK - 2011 12 Zarządzanie konfiguracją urządzeń Uwaga: Tylko dostęp poprzez port konsolowy jest możliwy bez dodatkowej konfiguracji. Pozostałe: tryby tekstowe (TELNET, SSH), tryby graficzne (HTTP Manager, SDM, ASDM), protokoły zarządzania (SNMP), wymagają dodatkowej konfiguracji. ZiMSK - 2011 13 IOS Tryby poleceń ZiMSK - 2011 14 IOS Użytkownika (user mode) Router> Przejście do trybu: Dostępny bezpośrednio po podłączeniu konsoli. Opuszczenie trybu: Polecenia: exit, logout. Zastosowanie: Dostęp do podstawowych informacji o routerze. ZiMSK - 2011 15 IOS Uprzywilejowany (privileged mode) Router# Przejście do trybu: Polecenie enable w trybie użytkownika. Opuszczenie trybu: Polecenia: disable, exit, logout. Zastosowanie: Szczegółowe informacje o routerze, dostęp do trybu konfiguracji. ZiMSK - 2011 16 IOS ZiMSK - 2011 17 IOS Konfiguracji globalnej (global configuration) Router(config)# Przejście do trybu: Polecenie configure terminal w trybie uprzywilejowanym. Opuszczenie trybu: Polecenia: exit, end, Ctrl+Z. Zastosowanie: Konfiguracja globalnych ustawień router’a. ZiMSK - 2011 18 IOS Konfiguracji szczegółowej (specific configuration) np.: Router(config-if)# Przejście do trybu: Polecenie zależy od tego co będziemy konfigurować np.: interface fastethernet 0/0 Opuszczenie trybu: Polecenia: exit. Zastosowanie: Konfiguracja szczegółowych ustawień elementów router’a. ZiMSK - 2011 19 IOS Listowanie komend wybranego trybu poleceń: Przejdź do wybranego trybu poleceń (np. trybu uprzywilejowanego). Listowanie dostępnych komend: ? Na ekranie wyświetlane są maksymalnie 22 linie jednocześnie. Jeśli linii jest więcej pokaże się znak --More-Naciśnięcie Enter przesunięcie o jeden wiersz. Naciśniecie spacji przesunięcie o kolejny ekran. ZiMSK - 2011 20 IOS Listowanie argumentów wybranego polecenia (przykład dla polecenia clock) Przejście do trybu uprzywilejowanego. Wyświetlenie dostępnych w tym trybie poleceń: Router# ? Wyświetlenie dostępnych poleceń rozpoczynające się od znaków cl: Router# cl? Dostępne argumenty polecenia clock: Router# clock ? Kolejne argumenty polecenia clock: Router# clock set ? Router# clock set 10:30:00 ? ZiMSK - 2011 21 IOS Funkcje edycyjne Ctrl + A Przejście na początek wiersza poleceń Ctrl + E Przejście na koniec wiersza poleceń Esc + B Jedno słowo do tyłu Ctrl + F | Jeden znak do przodu Ctrl + B | Jeden znak do tyłu Esc + F Jedno słowo do przodu ZiMSK - 2011 22 IOS Historia poleceń Ustawianie wielkości bufora poleceń: terminal history size 256 Uwagi: domyślna liczba poleceń to 10, maksymalna liczba poleceń to 256. Wyświetlenie zawartości bufora poleceń: show history Przywoływanie poleceń: Ctrl + P lub Ctrl + N lub (starsze polecenia) (nowsze polecenia) Wyłączanie historii poleceń: no terminal editing Włączanie historii poleceń: terminal editing ZiMSK - 2011 23 IOS Jeśli użytkownik popełni błąd w składni polecenia, miejsce błędu zostanie oznaczone za pomocą znaku ^ Automatyczne kończenie rozpoczętej komendy lub atrybutu: TAB ZiMSK - 2011 24 Laboratorium – switch Podłączenie do przełącznika. Usunięcie konfiguracji zapisanej w pamięci NVRAM (w tym hasła!). ZiMSK - 2011 25 Laboratorium – switch Przełącznik sieciowy. Dostępny sprzęt: Interfejsy: Medium: Zastosowanie: Cisco modele 1900, 2900, 2950, 2960, 3560. technologia Ethernet, szybkość 10/100/1000 Mb/s. kabel miedziany, skrętka kat. 5e. sieci lokalne (LAN). Interfejsy: Ethernet do przyłączenia hostów. 1-24 10/100Mb/s; 1-2 10/100/1000Mb/s Console do połączenia szeregowego z hostem. Połączenie to umożliwia pełną konfigurację urządzenia. (z tyłu urządzenia!). ZiMSK - 2011 26 Laboratorium – switch Procedura usuwania hasła (konfiguracji): Sprawdź, czy komputer jest podłączony do portu konsoli i czy jest otwarte okno programu HyperTerminal. Sprawdź czy zostały założone hasła: naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty: Switch> wpisz polecenie enable, czy pojawił się znak zachęty Switch# Jeśli choć jeden z trybów nie jest dostępny należy usunąć hasło. Wyłącz przełącznik. Włącz go ponownie, przytrzymując wciśnięty klawisz MODE, który znajduje się z przodu przełącznika. Zwolnij klawisz MODE, gdy zgaśnie dioda LED oznaczona etykietą STAT. ZiMSK - 2011 27 Laboratorium – switch Procedura usuwania hasła (konfiguracji): Aby zainicjować system plików należy użyć następujących poleceń: flash_init load_helper Wpisz polecenie dir flash: aby sprawdzić zawartość pamięci flash przełącznika. Plik o rozszerzeniu .bin to system operacyjny np. c2900xl-c3h2s-mz.120-5.WC7.bin. Plik o nazwie config.text to plik z konfiguracją urządzenia (także hasłami). Zmień nazwę pliku konfiguracyjnego wpisując polecenie: rename flash:config.text flash:config.old Wpisz polecenie boot, aby rozpocząć ładowanie systemu operacyjnego. Aby pominąć tryb setup należy nacisnąć Crtl+C. Sprawdź czy hasła zostały usunięte: naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Switch> wpisz polecenie enable, czy pojawił się znak zachęty Switch# Jeśli mamy prompt Switch# oznacza to iż hasła zostały usunięte. Zapisz pustą konfigurację, polecenie copy running-config startup-config. ZiMSK - 2011 28 Laboratorium – switch Kasowanie konfiguracji: (2960, 2950, 2900) Switch> enable Switch# delete flash:vlan.dat Switch# erase startup-config (1900) Switch> enable Switch# delete vtp Switch# delete nvram ZiMSK - 2011 29 Laboratorium – switch Zapisywanie konfiguracji: (2960, 2950, 2900) Przejść do trybu config, polecenia: Switch> enable Switch# configure terminal Nadać nazwę dla urządzenia poleceniem hostname nazwa. Wyjść z trybu config poleceniem exit i zapisać konfigurację w pamięci urządzenia za pomocą polecenia copy running-config startup-config. (1900) Przejść do trybu config, polecenia: Switch> enable Switch# configure terminal Nadać nazwę dla urządzenia poleceniem hostname nazwa. Wyjść z trybu config poleceniem exit, konfiguracja zostanie zapisana automatycznie. ZiMSK - 2011 30 Laboratorium – router Podłączenie do routera. Usunięcie konfiguracji zapisanej w pamięci NVRAM (w tym hasła!). ZiMSK - 2011 31 Laboratorium – router Dostępny sprzęt: Interfejsy: Medium: Zastosowanie: Cisco modele 2500, 2600, 2800. (LAN) technologia Ethernet, szybkość 10/100/1000 Mb/s. (WAN) porty szeregowe (synchroniczne T, asynchroniczne A/S), różne protokoły (PPP, Frame Relay), szybkość maks. 8Mb/s. (LAN) kabel miedziany, skrętka kat. 5e. (WAN) kabel miedziany, Smart Serial (26 Pin Male). sieci lokalne (LAN), sieci rozległe (WAN). ZiMSK - 2011 32 Laboratorium – router Interfejsy: Ethernet do połączenia z siecią LAN. Serial do połączenia z siecią WAN. Console do połączenia szeregowego z hostem. Połączenie to umożliwia pełną konfigurację urządzenia. ZiMSK - 2011 33 Laboratorium – router Identyfikacja okablowania: Serialowe: Smart Serial 26 pin. Ethernetowe: Skrętka cat. 5e, zakończona wtykami RJ-45. Rodzaje: prosty, krosowy, rollover (tylko do przyłączenia konsoli). ZiMSK - 2011 34 Laboratorium – router (2600, 2800) Sprawdź, czy komputer jest podłączony do portu konsoli i czy jest otwarte okno programu HyperTerminal. Sprawdź czy zostały założone hasła: naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Router> wpisz polecenie enable, czy pojawił się znak zachęty Router# Jeśli choć jeden z trybów nie jest dostępny należy usunąć hasło. Wyłącz router. Włącz go ponownie. Naciśnij kombinacje Crtl+Break aby przejść do trybu ROMMON. Wpisz polecenie, które umożliwi pominięcie ładowania pliku konfiguracyjnego przy starcie systemu confreg 0x2142. ZiMSK - 2011 35 Laboratorium – router (2600, 2800) Uruchom ponownie router, miękki restart, polecenie reset. Router uruchomi się ale pominie plik konfiguracyjny. Aby pominąć tryb setup należy nacisnąć Crtl+C. Sprawdź czy hasła zostały usunięte: naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Router> wpisz polecenie enable, czy pojawił się znak zachęty Router# Jeśli mamy prompt Router# oznacza to iż hasła zostały usunięte. Przejdź do trybu config wprowadzając polecenie configure terminal. Wprowadź polecenie config-register 0x2102 aby przywrócić wczytywanie pliku konfiguracyjnego przy starcie systemu. Zapisz pustą konfigurację, polecenie copy running-config startupconfig. ZiMSK - 2011 36 Laboratorium – router Kasowanie konfiguracji: (2600, 2800) Router> enable Router# erase startup-config Router# reload System configuration has been modified. Save? [yes/no]: n Aby pominąć tryb setup należy nacisnąć Crtl+C. ZiMSK - 2011 37 Laboratorium – router Zapisywanie konfiguracji: (2600, 2800) Przejść do trybu config, polecenia: Router> enable Router# configure terminal Nadać nazwę dla urządzenia poleceniem hostname nazwa. Wyjść z trybu config poleceniem exit i zapisać konfigurację w pamięci urządzenia za pomocą polecenia copy running-config startup-config. ZiMSK - 2011 38 Laboratorium – firewall Podłączenie do firewall’a. Usunięcie konfiguracji zapisanej w pamięci NVRAM (w tym hasła!). ZiMSK - 2011 39 Laboratorium – firewall Firewall (PIX, ASA) Dostępny sprzęt: Interfejsy: Medium: Zastosowanie: PIX 515E, ASA 5510. (LAN) technologia Ethernet, szybkość 10/100 Mb/s. (LAN) kabel miedziany, skrętka kat. 5e. sieci lokalne, łączenie stref o różnym poziomie bezpieczeństwa. ZiMSK - 2011 40 Laboratorium – firewall Interfejsy: Ethernet do połączenia ze strefami o różnym poziomie bezpieczeństwa (inside, outsider, dmz, itp.) Console do połączenia szeregowego z hostem. Połączenie to umożliwia pełną konfigurację urządzenia. Failover do połączenia z drugim zapasowym PIX. ZiMSK - 2011 41 Laboratorium – firewall (PIX 515E) Sprawdź, czy komputer jest podłączony do portu konsoli i czy jest otwarte okno programu HyperTerminal. Sprawdź czy zostały założone hasła: naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Router> wpisz polecenie enable, (przy pytaniu o hasło enter) czy pojawił się znak zachęty Router# Jeśli choć jeden z trybów nie jest dostępny należy usunąć hasło. Wyłącz pix. Włącz go ponownie. Naciśnij kombinacje Crtl+Break aby przejść do trybu monitor. ZiMSK - 2011 42 Laboratorium – firewall (PIX 515E) Skonfiguruj urządzenie tak aby można było pobrać z serwera TFTP plik usuwający hasła: Połącz host z serwerem TFTP z jeden z interfejsów Ethernet pix’a Jeśli jest to interfejs 0 wpisz: interface 0 Nadaj adres IP temu interfejsowi: address 10.0.0.1 Podaj adres serwera TFTP (pamiętaj, że jego karta sieciowa musi być tak skonfigurowana): server 10.0.0.2 Podaj nazwę pliku do odzyskiwania hasła (wersja pliku zależy od wersji systemu): file np70.bin Podaj adres bramy domyślnej: gateway 10.0.0.2 Sprawdź komunikację z serwerem: ping 10.0.0.2 Aby rozpocząć pobieranie pliku wydaj polecenie: tftp Postępuj zgodnie z informacjami wyświetlanymi na konsoli, procedura została zakończona. ZiMSK - 2011 43 Laboratorium – firewall (ASA 5510) Power off the security appliance, and then power it on. During the startup messages, press the Escape key when prompted to enter ROMMON. To set the security appliance to ignore the startup configuration at reload, enter command: rommon #1> confreg 0x40 Reload the security appliance by entering the following command: rommon #2> boot The security appliance loads a default configuration instead of the startup configuration. Enter privileged EXEC mode by entering the following command: hostname> enable When prompted for the password, press Return. The password is blank. Erase startup-config hostname# write erase Enter global configuration mode by entering the following command: hostname# configure terminal Change the configuration register to load the startup configuration at the next reload by entering the following command: hostname(config)# config-register 0x1 ZiMSK - 2011 44 Laboratorium – firewall Kasowanie konfiguracji: (515E, 5510) pix> enable pix# configure terminal pix(config)# write erase - usunięcie zapisanej konfiguracji (startup-config) pix(config)# clear configure all - usunięcie bieżącej konfiguracji (running-config) ZiMSK - 2011 45 Laboratorium – firewall Zapisanie konfiguracji w pamięci urządzenia: (515E, 5510) Przejść do trybu config, polecenia: pix> enable pix# configure terminal Nadać nazwę dla urządzenia poleceniem hostname nazwa. Wyjść z trybu config poleceniem exit i zapisać konfigurację w pamięci urządzenia za pomocą poleceń (alternatywnie): copy running-config startup-config write memory ZiMSK - 2011 46 ZiMSK KONIEC ZiMSK - 2011 47