ZiMSK.z06.(CLI_TELNE..

Transkrypt

ZADANIE.06
Zarządzanie i Monitorowanie Sieci Komputerowych v.2015
Imię
Nazwisko
ZADANIE.06
Zarządzanie konfiguracją urządzeń
(tryb tekstowy i graficzny)
2,5h
1. Zbudować sieć laboratoryjną
2. Czynności wstępne
3. Zarządzanie konfiguracją urządzeń
(tryb tekstowy: konsola)
(tryb tekstowy: TELNET)
(tryb tekstowy: SSH)
(tryb graficzny: HTTP Manager, SDM, ASDM)
7. Czynności końcowe
-1-
ZADANIE.06
1. Zbudować sieć laboratoryjną
Zadanie
 Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią.
Topologia sieci laboratoryjnej
79.96.21.160 / 28
OUTSIDE
dmz
security-level 50
outside
security-level 0
212.191.89.128 / 25
subinterfaces, trunk
172.18.0.0 / 16
10.2.0.0 / 16
VLAN Admin
sec.lev.95
10.10.0.0 / 16
VLAN Dyrekcja
10.20.0.0 / 16
sec.lev.85
VLAN Pracownicy
sec.lev.80
-2-
ZADANIE.06
2. Czynności wstępne

Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń.

Przywrócić konfiguracje urządzeń z poprzedniego zadania
(z serwera TFTP albo metodą „Crtl+C, Crtl+V”).


Sprawdzić za pomocą programu ping działanie interfejsów:
o
z hosta w sieci inside_admin adres podinterfejsu inside_admin ASA:
………………
o
z hosta w sieci inside_dyrekcja adres podinterfejsu inside_dyrekcja ASA: ………………
o
z hosta w sieci inside_pracownicy adres podinterfejsu inside_pracownicy ASA: ………
o
z hosta wewnątrz sieci dmz adres interfejsu dmz ASA:
………………
o
z hosta wewnątrz sieci outside adres interfejsu Routera:
………………
o
z hosta wewnątrz sieci outside adres interfejsu outside ASA:
………………
Zainstalować w strefie dmz, outside i inside_pracownicy po jednym serwerze FTP
(np. TYPSoft FTP Server).

Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do
dowolnego folderu na dysku.

Przeprowadzić testy:
o
Czy można połączyć się z sieci inside_admin do serwera FTP w dmz? ………………………………
Jeśli tak - z jakiego adresu nastąpiło połączenie? …………………………………………………………………
Jeśli nie – wyjaśnić dlaczego? ……………………………………………………………………………………………….
o
Czy można połączyć się z sieci inside_pracownicy do serwera FTP w outside? …………………
o
Czy można połączyć się z sieci inside_dyrekcja do serwera FTP w outside? ……………………
o
Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? …………………………
o
Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? …………………………
-3-
ZADANIE.06
(tryb tekstowy: konsola)
Zadanie

Skonfigurować porty konsolowe urządzeń zgodnie z tabelą (dotyczy wyłącznie hasła):
Urządzenie
Konfiguracja portu
Użytkownik i hasło
Bits per second: 9600
Data bits: 8
dowolne
Parity: None
(hasło ustawione
w konfiguracji konsoli)
Stop bits: 1
Flow control: None
Data bits: 8
dowolne
Parity: None
(użytkownik i hasło w lokalnej
bazie użytkowników)
Stop bits: 1
Flow control: None
Data bits: 8
dowolne
Parity: None
Stop bits: 1
Flow control: None
Materiał pomocniczy
Konfigurowanie hasła do portu konsoli
Przejście do konfiguracji portu konsolowego:
hostname(config)# line console <nr portu konsoli>
Uwaga: Ponieważ istnieje tylko jeden port konsolowy, nr portu konsoli = 0.
-4-
ZADANIE.06
Wymuszenie podania hasła przy dostępie do konsoli, a także wybór skąd będą pobierane
dane do uwierzytelnienia (dwie alternatywne wersje):
hostname(config-line)# login
Hasło będzie zdefiniowane w konfiguracji konsoli za pomocą polecenia:
hostname(config-line)# password <hasło>
hostname(config-line)# login local
Nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą
poleceń: hostname(config)# username <nazwa> password <hasło>
Wymuszenie podania hasła przy dostępie do konsoli, a także wybór skąd będą pobierane
dane do uwierzytelnienia:
ASA(config)# aaa authentication serial console <LOCAL |
nazwa_serwera>
Wyjaśnienie pojęć:

LOCAL - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za
pomocą poleceń: ASA(config)# username <nazwa> password <hasło>

nazwa_serwera - nazwy użytkowników oraz ich hasła będą pobierane z serwera
TACACS albo RADIUS (będzie w kolejnych zadaniach).
Sprawozdanie

Połączyć się za pomocą konsoli ze Switch.
o Czy połączenie powiodło się?
……………………
o Czy uwierzytelnienie powiodło się?
……………………
o Czy można przejść do trybu uprzywilejowanego
-5-
#?
……………………
ZADANIE.06

Połączyć się za pomocą konsoli z Routerem.
……………………
……………………

#?
……………………
Połączyć się za pomocą konsoli z ASA.
……………………
……………………
#?
……………………
(tryb tekstowy: TELNET)
Zadanie

Skonfigurować dostęp do urządzeń za pomocą protokołu TELNET:
Urządzenie
Opcje
dowolne
Session timeout: 60 sekund
(hasło ustawione
w konfiguracji linii vty)
Dowolne
dowolne
Dostęp: wyłącznie z jednego
hosta w sieci VLAN Admin
Konfigurowanie dostępu poprzez TELNET
-6-
ZADANIE.06
Przejście do konfiguracji zdalnego dostępu:
hostname(config)# line vty <nr_linii_vty_1> <nr_linii_vty_2>
Wybór protokołu zdalnego dostępu:
hostname(config-line)# transport input telnet
Konfiguracja hasła przy zdalnym dostępie, a także wybór skąd będą pobierane dane do
uwierzytelnienia (dwie alternatywne wersje):
hostname(config-line)# login
Hasło będzie zdefiniowane w konfiguracji linii vty za pomocą polecenia:
hostname(config-line)# password <hasło>
hostname(config-line)# login local
Nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą
poleceń: hostname(config)# username <nazwa> password <hasło>
Czas po jakim sesja TELNET wygaśnie:
hostname(config-line)# exec-timeout <czas> <czas>

nr_linii_vty_1– początkowy numer linii vty (zdalnego dostępu), która będzie
dostępna i chroniona hasłem.

nr_linii_vty_2– końcowy numer linii vty (zdalnego dostępu), która będzie dostępna i
chroniona hasłem.
Uwaga: liczba dostępnych linii zależy od urządzenia i wersji IOS (znakiem zapytania w
poleceniu można sprawdzić liczbę dostępnych linii).
Włączenie dostępu poprzez TELNET dla konkretnego hosta albo sieci:
-7-
ZADANIE.06
ASA(config)# telnet <adres_IP> <maska_sieci> <nazwa_sieci>
Wybór miejsca skąd będą pobierane dane do uwierzytelnienia sesji TELNET:
ASA(config)# aaa authentication telnet console <LOCAL |
nazwa_serwera>
Czas po jakim sesja TELNET wygaśnie:
ASA(config)# telnet timeout <czas>

adres_IP – adres hosta albo sieci, z której będzie możliwie połączenie z ASA.

maska_sieci – maska hosta (255.255.255.255) albo sieci, z której będzie możliwie
połączenie z ASA.

nazwa_sieci - nazwa sieci, z której będzie możliwie połączenie z ASA.

TACACS albo RADIUS.

pomocą poleceń ASA(config)# username <nazwa> password <hasło>
Sprawozdanie

Połączyć się za pomocą klienta TELNET ze Switch.
……………………
……………………

……………………
Połączyć się za pomocą klienta TELNET z Routerem.
……………………
……………………

#?
#?
……………………
Połączyć się za pomocą klienta TELNET z ASA.
……………………
……………………
-8-
#?
……………………
ZADANIE.06
(tryb tekstowy: SSH)
Zadanie

Wyłączyć / zabronić dostępu poprzez TELNET na Routerze.

Wyłączyć / zabronić dostępu poprzez TELNET na ASA.

Skonfigurować dostęp do urządzeń za pomocą protokołu SSH zgodnie z tabelą:
Urządzenie
Opcje
Version: 2
dowolne
Authentication timeout: 5sekund
Retries: 0
(użytkownik i hasło w
lokalnej bazie
użytkowników)
Version: 1
dowolne
Access: wyłącznie z jednego
hosta w sieci VLAN Admin
(użytkownik i hasło w
lokalnej bazie
użytkowników)
Konfigurowanie dostępu poprzez SSH
Do wygenerowania klucza algorytmu RSA konieczne jest skonfigurowanie nazwy
urządzenia oraz nazwy domeny, w której to urządzenie pracuje:
Router(config)# hostname <nazwa_urzadzenia>
Router(config)# ip domain-name <nazwa_domeny>
Generowanie klucza RSA:
Router(config)# crypto key generate rsa
-9-
ZADANIE.06
Wybór wersji SSH:
Router(config)# ip ssh version <nr_wersji>
Konfiguracja czasu wygaśnięcia sesji uwierzytelniania oraz liczby prób logowania:
Router(config)# ip ssh time-out <czas>
Router(config)# ip ssh authentication-retries <liczba_prób>
Router(config)# line vty <nr_linii_vty_1> <nr_linii_vty_2>
Router(config-line)# transport input ssh
Wybór miejsca skąd będą pobierane dane do uwierzytelnienia:
Router(config-line)# login <local | tacacs>
Czas po jakim sesja SSH wygaśnie:
Router(config-line)# exec-timeout <czas> <czas>

local - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za
pomocą poleceń Router(config)# username <nazwa> password <hasło>

tacacs - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS.
Weryfikacja konfiguracji
Router# show ssh
Router# show ip ssh
Analiza problemów
Router# debug ip ssh
- 10 -
ZADANIE.06
Generowanie klucza RSA:
ASA(config)# crypto key generate rsa
Konfiguracja danych hosta albo sieci, z której będzie możliwe połączenie z ASA:
ASA(config)# ssh <adres_IP> <maska_sieci> <nazwa_sieci>
Czas po jakim sesja SSH wygaśnie:
ASA(config)# ssh timeout <czas>
Wybór wersji SSH:
ASA(config)# ssh version <nr_wersji>
ASA(config)# aaa authentication ssh console <LOCAL |
nazwa_serwera>

adres_IP – adres hosta albo sieci, z której będzie możliwie połączenie z ASA.

maska_sieci – maska hosta (255.255.255.255) albo sieci, z której będzie możliwie
połączenie z ASA.

nazwa_sieci - nazwa sieci, z której będzie możliwie połączenie z ASA.

TACACS albo RADIUS.

pomocą poleceń ASA(config)# username <nazwa> password <hasło>
- 11 -
ZADANIE.06
Sprawozdanie

Połączyć się za pomocą klienta SSH z Routerem.
……………………
……………………

#?
……………………
Połączyć się za pomocą klienta SSH z ASA.
……………………
……………………
#?
……………………
[edit system services]
ssh {
ciphers [ cipher-1 cipher-2 cipher-3 ...]
client-alive-count-max number;
client-alive-interval seconds;
connection-limit limit;
hostkey-algorithm <algorithm | no-algorithm>;
key-exchange algorithm;
macs algorithm;
max-sessions-per-connection number;
no-passwords;
no-tcp-forwarding;
protocol-version [v1 v2] ;
rate-limit limit;
root-login <allow | deny | deny-password>;
}
- 12 -
ZADANIE.06
(tryb graficzny: HTTP Manager, SDM, ASDM)
Zadanie

Włączyć możliwość konfiguracji urządzeń poprzez tryb graficzny
(przeglądarkę internetową):
Urządzenie
Parametry konfiguracyjne
Serwer: HTTP
Uwierzytelnianie: hasło do trybu uprzywilejowanego
Serwer: HTTPS
Uwierzytelnianie: z lokalnej bazy użytkowników
Serwer: HTTPS
Uwierzytelnianie: z lokalnej bazy użytkowników
HTTP Device Manager
- 13 -
ZADANIE.06
Włączenie HTTP Device Manager na Switch:
Switch(config)# ip http server
Konfiguracja hasła do trybu uprzywilejowanego na najwyższy poziom dostępu
(standardowa konfiguracja hasła bez słowa level także powinna być na poziomie 15):
Switch(config)# enable secret level 15 <hasło>
Wybór metody uwierzytelniania przy połączeniu z HTTP Device Manager:
Switch(config)# ip http authentication <local | enable>

local - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za
pomocą poleceń Switch(config)# username <nazwa> password <hasło>

enable – do uwierzytelnienia będzie wykorzystane hasło do trybu uprzywilejowanego.
Połączenie z HTTP Manager (podanie protokołu i adresu IP w przeglądarce internetowej):
- 14 -
ZADANIE.06
SDM (Security Device Manager)
Wymagania SDM
Router:
Urządzenie
Wersja IOS
Cisco
12.2(11)T6 or later
2610XM, 2611XM, 2620XM, 2621XM,
2650XM, 2651XM, 2691
12.3(2)T or later
12.3(1)M or later
12.3(4)XD
12.2(15)ZJ3
Cisco 2801, 2811, 2821 ,2851
12.3(8)T4 or later
Stacja zarządzająca:
- 15 -
ZADANIE.06
o Procesor Pentium III
o Windows XP, 2003 Server, 2000 Professional (Service Pack 4), ME,
98 (second edition), NT 4.0 Workstation (Service Pack 4)
o Internet Explorer 5.5 lub Netscape version 7.1
o Sun Java Runtime Environment (JRE) 1.4.2_05 lub Java Virtual Machine (JVM)
5.0.0.3810.
Konfiguracja SDM
Router# configure terminal
Włączenie serwera HTTP na Routerze:
Router(config)# ip http server
Włączenie serwera HTTPS na Routerze:
Router(config)# ip http secure-server
Wybór metody uwierzytelniania przy połączeniu z SDM:
Router(config)# ip http authentication <local | enable>
Jeśli wybrano bazę lokalną musi być w niej zdefiniowany użytkownik o
najwyższym poziomie uprzywilejowania (15):
Router(config)# username <nazwa_użytkownika> privilege 15 password
<hasło>
Router(config)# line vty <nr_linii_vty_1> <nr_linii_vty_2>
Ustawienie zdalnego dostępu na najwyższym poziom uprzywilejowania (15):
Router(config-line)# privilege level 15
Router(config-line)# login <local | tacacs>
- 16 -
ZADANIE.06
Router(config-line)# transport input ssh
Instalacja SDM
- 17 -
ZADANIE.06
Weryfikacja SDM
Sprawdzenie czy w pamięci flash zostały zapisane pliki z SDM:
Router# show flash:
System flash directory:
File
Length
Name/status
1
5148536
c831-k9o3y6-mz.122-13.ZH1.bin
2
14617
sdm.shtml
3
669
sdmconfig-83x.cfg
4
2290688
sdm.tar
5
14617
sdm.shtml.hide
6
1446
home.html
7
214016
home.tar
8
1446
home.html.hide
[7686035 bytes used, 17434224 available, 24903680 total]
24576K bytes of processor board System flash (Read/Write)
Połączenie z SDM
Połączenie z SDM (podanie protokołu i adresu IP w przeglądarce internetowej):
- 18 -
ZADANIE.06
ASDM (Adaptive Security Device Manager)
Zasada działania ASDM
Wymagania ASDM

Przeglądarka obsługująca SSL.

Wyłączone blokowanie „wyskakujących okienek”.
- 19 -
ZADANIE.06
Konfiguracja ASDM
Włączenie serwera HTTPS (z ASDM):
ASA(config)# http server enable
IP hosta, maska sieci i nazwa interfejsu, z którego będzie możliwy dostęp do ASDM:
ASA(config)# http <adres_IP> <maska_sieci>
<nazwa_interfejsu>
Nazwa ASA i nazwa domeny, w której się znajduje:
ASA(config)# hostname <nazwa_urzadzenia>
ASA(config)# domain-name <nazwa_domeny>
Wybór miejsca, z którego będą pobierane dane do uwierzytelniania:
ASA(config)# aaa authentication http console <LOCAL |
nazwa_serwera>
Weryfikacja ASDM
ASA# show flash:
asa723-k8.bin
- IOS
asdm-523.bin
- ASDM
- 20 -
ZADANIE.06
Uruchomienie ASDM
set security zones security-zone untrust interfaces
ge-0/0/0.0 host inbound-traffic http
set security zones security-zone untrust interfaces
ge-0/0/0.0 host-inbound-traffic https
set system services web-management http interface
ge-0/0/0.0
set system services web-management https interface
ge-0/0/0.0
- 21 -
ZADANIE.06
Sprawozdanie



Połączyć się za pomocą HTTP Manager ze Switch.
……………………
……………………
o Jaki typ przełącznika jest konfigurowany?
……………………
Połączyć się za pomocą SDM z Routerem.
……………………
……………………
o Jaka jest całkowita pojemność pamięci flash?
……………………
Połączyć się za pomocą ASDM z ASA.
……………………
……………………
o Ile czasu urządzenie już pracuje?
……………………
7. Czynności końcowe

Zapisać konfiguracje urządzeń na serwer TFTP.

Zgrać konfiguracje na pendrive.
- 22 -

ZiMSK.z06.(CLI_TELNE..

Transkrypt

Podobne dokumenty

ZiMSK.z06.(CLI_TELNE..

wyczarowane przez czarta

SSH - zdalne administrowanie - Witamy na stronie lukon.cba.pl

prl się śmieje! polska komedia filmowa lat 1945

Pierwsze logowanie do poczty wsb.edu.pl

Regulamin Counter Strike: 1. W turnieju biorą udział drużyny 5

dokument opisujący metody pracy z pocztą elektroniczną szkoły

ROUTER RM 125

Konfiguracja przelacznika

pytania i odpowiedzi do siwz - Wojskowy Instytut Łączności