ZiMSK.z06.(CLI_TELNE..

Transkrypt

ZADANIE.06
Zarządzanie i Monitorowanie Sieci Komputerowych v.2013
Imię
Nazwisko
ZADANIE.06
Zarządzanie konfiguracją urządzeń
(tryb tekstowy i graficzny)
2,5h
1. Zbudować sieć laboratoryjną
2. Czynności wstępne
3. Zarządzanie konfiguracją urządzeń
(tryb tekstowy: konsola)
(tryb tekstowy: TELNET)
(tryb tekstowy: SSH)
(tryb graficzny: HTTP Manager, SDM, ASDM)
7. Czynności końcowe
-1-
ZADANIE.06
1. Zbudować sieć laboratoryjną
Zadanie
 Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią.
Topologia sieci laboratoryjnej
79.96.21.160 / 28
OUTSIDE
dmz
security-level 50
outside
security-level 0
212.191.89.128 / 25
subinterfaces, trunk
172.18.0.0 / 16
10.2.0.0 / 16
VLAN Admin
sec.lev.95
10.10.0.0 / 16
VLAN Dyrekcja
10.20.0.0 / 16
sec.lev.85
VLAN Pracownicy
sec.lev.80
-2-
ZADANIE.06
2. Czynności wstępne

Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń.

Przywrócić konfiguracje urządzeń z poprzedniego zadania
(z serwera TFTP albo metodą „Crtl+C, Crtl+V”).


Sprawdzić za pomocą programu ping działanie interfejsów:
o
z hosta w sieci inside_admin adres podinterfejsu inside_admin ASA:
………………
o
z hosta w sieci inside_dyrekcja adres podinterfejsu inside_dyrekcja ASA: ………………
o
z hosta w sieci inside_pracownicy adres podinterfejsu inside_pracownicy ASA: ………
o
z hosta wewnątrz sieci dmz adres interfejsu dmz ASA:
………………
o
z hosta wewnątrz sieci outside adres interfejsu Routera:
………………
o
z hosta wewnątrz sieci outside adres interfejsu outside ASA:
………………
Zainstalować w strefie dmz, outside i inside_pracownicy po jednym serwerze FTP
(np. TYPSoft FTP Server).

Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do
dowolnego folderu na dysku.

Przeprowadzić testy:
o
Czy można połączyć się z sieci inside_admin do serwera FTP w dmz? ………………………………
Jeśli tak - z jakiego adresu nastąpiło połączenie? …………………………………………………………………
Jeśli nie – wyjaśnić dlaczego? ……………………………………………………………………………………………….
o
Czy można połączyć się z sieci inside_pracownicy do serwera FTP w outside? …………………
o
Czy można połączyć się z sieci inside_dyrekcja do serwera FTP w outside? ……………………
o
Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? …………………………
o
Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? …………………………
-3-
ZADANIE.06
(tryb tekstowy: konsola)
Zadanie

Skonfigurować porty konsolowe urządzeń zgodnie z tabelą (dotyczy wyłącznie hasła):
Urządzenie
Konfiguracja portu
Użytkownik i hasło
Bits per second: 9600
Data bits: 8
dowolne
Parity: None
(hasło ustawione
w konfiguracji konsoli)
Stop bits: 1
Flow control: None
Data bits: 8
dowolne
Parity: None
(użytkownik i hasło w lokalnej
bazie użytkowników)
Stop bits: 1
Flow control: None
Data bits: 8
dowolne
Parity: None
Stop bits: 1
Flow control: None
Materiał pomocniczy
Konfigurowanie hasła do portu konsoli
Przejście do konfiguracji portu konsolowego:
hostname(config)# line console <nr portu konsoli>
Uwaga: Ponieważ istnieje tylko jeden port konsolowy, nr portu konsoli = 0.
-4-
ZADANIE.06
Wymuszenie podania hasła przy dostępie do konsoli, a także wybór skąd będą pobierane
dane do uwierzytelnienia (dwie alternatywne wersje):
hostname(config-line)# login
Hasło będzie zdefiniowane w konfiguracji konsoli za pomocą polecenia:
hostname(config-line)# password <hasło>
hostname(config-line)# login local
Nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą
poleceń: hostname(config)# username <nazwa> password <hasło>
Wymuszenie podania hasła przy dostępie do konsoli, a także wybór skąd będą pobierane
dane do uwierzytelnienia:
ASA(config)# aaa authentication serial console <LOCAL |
nazwa_serwera>
Wyjaśnienie pojęć:

LOCAL - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za
pomocą poleceń: ASA(config)# username <nazwa> password <hasło>

nazwa_serwera - nazwy użytkowników oraz ich hasła będą pobierane z serwera
TACACS albo RADIUS (będzie w kolejnych zadaniach).
Sprawozdanie

Połączyć się za pomocą konsoli ze Switch.
o Czy połączenie powiodło się?
……………………
o Czy uwierzytelnienie powiodło się?
……………………
o Czy można przejść do trybu uprzywilejowanego
-5-
#?
……………………
ZADANIE.06

Połączyć się za pomocą konsoli z Routerem.
……………………
……………………

#?
……………………
Połączyć się za pomocą konsoli z ASA.
……………………
……………………
#?
……………………
(tryb tekstowy: TELNET)
Zadanie

Skonfigurować dostęp do urządzeń za pomocą protokołu TELNET:
Urządzenie
Opcje
dowolne
Session timeout: 60 sekund
(hasło ustawione
w konfiguracji linii vty)
Dowolne
dowolne
Dostęp: wyłącznie z jednego
hosta w sieci VLAN Admin
Konfigurowanie dostępu poprzez TELNET
-6-
ZADANIE.06
Przejście do konfiguracji zdalnego dostępu:
hostname(config)# line vty <nr_linii_vty_1> <nr_linii_vty_2>
Wybór protokołu zdalnego dostępu:
hostname(config-line)# transport input telnet
Konfiguracja hasła przy zdalnym dostępie, a także wybór skąd będą pobierane dane do
uwierzytelnienia (dwie alternatywne wersje):
hostname(config-line)# login
Hasło będzie zdefiniowane w konfiguracji linii vty za pomocą polecenia:
hostname(config-line)# password <hasło>
hostname(config-line)# login local
Nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za pomocą
poleceń: hostname(config)# username <nazwa> password <hasło>
Czas po jakim sesja TELNET wygaśnie:
hostname(config-line)# exec-timeout <czas> <czas>

nr_linii_vty_1– początkowy numer linii vty (zdalnego dostępu), która będzie
dostępna i chroniona hasłem.

nr_linii_vty_2– końcowy numer linii vty (zdalnego dostępu), która będzie dostępna i
chroniona hasłem.
Uwaga: liczba dostępnych linii zależy od urządzenia i wersji IOS (znakiem zapytania w
poleceniu można sprawdzić liczbę dostępnych linii).
Włączenie dostępu poprzez TELNET dla konkretnego hosta albo sieci:
-7-
ZADANIE.06
ASA(config)# telnet <adres_IP> <maska_sieci> <nazwa_sieci>
Wybór miejsca skąd będą pobierane dane do uwierzytelnienia sesji TELNET:
ASA(config)# aaa authentication telnet console <LOCAL |
nazwa_serwera>
Czas po jakim sesja TELNET wygaśnie:
ASA(config)# telnet timeout <czas>

adres_IP – adres hosta albo sieci, z której będzie możliwie połączenie z ASA.

maska_sieci – maska hosta (255.255.255.255) albo sieci, z której będzie możliwie
połączenie z ASA.

nazwa_sieci - nazwa sieci, z której będzie możliwie połączenie z ASA.

TACACS albo RADIUS.

pomocą poleceń ASA(config)# username <nazwa> password <hasło>
Sprawozdanie

Połączyć się za pomocą klienta TELNET ze Switch.
……………………
……………………

……………………
Połączyć się za pomocą klienta TELNET z Routerem.
……………………
……………………

#?
#?
……………………
Połączyć się za pomocą klienta TELNET z ASA.
……………………
……………………
-8-
#?
……………………
ZADANIE.06
(tryb tekstowy: SSH)
Zadanie

Wyłączyć / zabronić dostępu poprzez TELNET na Routerze.

Wyłączyć / zabronić dostępu poprzez TELNET na ASA.

Skonfigurować dostęp do urządzeń za pomocą protokołu SSH zgodnie z tabelą:
Urządzenie
Opcje
Version: 2
dowolne
Authentication timeout: 5sekund
Retries: 0
(użytkownik i hasło w
lokalnej bazie
użytkowników)
Version: 1
dowolne
Access: wyłącznie z jednego
hosta w sieci VLAN Admin
(użytkownik i hasło w
lokalnej bazie
użytkowników)
Konfigurowanie dostępu poprzez SSH
Do wygenerowania klucza algorytmu RSA konieczne jest skonfigurowanie nazwy
urządzenia oraz nazwy domeny, w której to urządzenie pracuje:
Router(config)# hostname <nazwa_urzadzenia>
Router(config)# ip domain-name <nazwa_domeny>
Generowanie klucza RSA:
Router(config)# crypto key generate rsa
-9-
ZADANIE.06
Wybór wersji SSH:
Router(config)# ip ssh version <nr_wersji>
Konfiguracja czasu wygaśnięcia sesji uwierzytelniania oraz liczby prób logowania:
Router(config)# ip ssh time-out <czas>
Router(config)# ip ssh authentication-retries <liczba_prób>
Router(config)# line vty <nr_linii_vty_1> <nr_linii_vty_2>
Router(config-line)# transport input ssh
Wybór miejsca skąd będą pobierane dane do uwierzytelnienia:
Router(config-line)# login <local | tacacs>
Czas po jakim sesja SSH wygaśnie:
Router(config-line)# exec-timeout <czas> <czas>

local - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za
pomocą poleceń Router(config)# username <nazwa> password <hasło>

tacacs - nazwy użytkowników oraz ich hasła będą pobierane z serwera TACACS.
Weryfikacja konfiguracji
Router# show ssh
Router# show ip ssh
Analiza problemów
Router# debug ip ssh
- 10 -
ZADANIE.06
Generowanie klucza RSA:
ASA(config)# crypto key generate rsa
Konfiguracja danych hosta albo sieci, z której będzie możliwe połączenie z ASA:
ASA(config)# ssh <adres_IP> <maska_sieci> <nazwa_sieci>
Czas po jakim sesja SSH wygaśnie:
ASA(config)# ssh timeout <czas>
Wybór wersji SSH:
ASA(config)# ssh version <nr_wersji>
ASA(config)# aaa authentication ssh console <LOCAL |
nazwa_serwera>

adres_IP – adres hosta albo sieci, z której będzie możliwie połączenie z ASA.

maska_sieci – maska hosta (255.255.255.255) albo sieci, z której będzie możliwie
połączenie z ASA.

nazwa_sieci - nazwa sieci, z której będzie możliwie połączenie z ASA.

TACACS albo RADIUS.

pomocą poleceń ASA(config)# username <nazwa> password <hasło>
- 11 -
ZADANIE.06
Sprawozdanie

Połączyć się za pomocą klienta SSH z Routerem.
……………………
……………………

#?
……………………
Połączyć się za pomocą klienta SSH z ASA.
……………………
……………………
#?
……………………
(tryb graficzny: HTTP Manager, SDM, ASDM)
Zadanie

Włączyć możliwość konfiguracji urządzeń poprzez tryb graficzny
(przeglądarkę internetową):
Urządzenie
Parametry konfiguracyjne
Serwer: HTTP
Uwierzytelnianie: hasło do trybu uprzywilejowanego
Serwer: HTTPS
Uwierzytelnianie: z lokalnej bazy użytkowników
Serwer: HTTPS
Uwierzytelnianie: z lokalnej bazy użytkowników
- 12 -
ZADANIE.06
HTTP Device Manager
Włączenie HTTP Device Manager na Switch:
Switch(config)# ip http server
Konfiguracja hasła do trybu uprzywilejowanego na najwyższy poziom dostępu
(standardowa konfiguracja hasła bez słowa level także powinna być na poziomie 15):
Switch(config)# enable secret level 15 <hasło>
Wybór metody uwierzytelniania przy połączeniu z HTTP Device Manager:
Switch(config)# ip http authentication <local | enable>

local - nazwy użytkowników oraz ich hasła będą zdefiniowane na urządzeniu za
pomocą poleceń Switch(config)# username <nazwa> password <hasło>

enable – do uwierzytelnienia będzie wykorzystane hasło do trybu uprzywilejowanego.
- 13 -
ZADANIE.06
Połączenie z HTTP Manager (podanie protokołu i adresu IP w przeglądarce internetowej):
SDM (Security Device Manager)
Wymagania SDM
Router:
Urządzenie
Wersja IOS
Cisco
12.2(11)T6 or later
2610XM, 2611XM, 2620XM, 2621XM,
2650XM, 2651XM, 2691
12.3(2)T or later
12.3(1)M or later
12.3(4)XD
12.2(15)ZJ3
Cisco 2801, 2811, 2821 ,2851
12.3(8)T4 or later
- 14 -
ZADANIE.06
Stacja zarządzająca:
o Procesor Pentium III
o Windows XP, 2003 Server, 2000 Professional (Service Pack 4), ME,
98 (second edition), NT 4.0 Workstation (Service Pack 4)
o Internet Explorer 5.5 lub Netscape version 7.1
o Sun Java Runtime Environment (JRE) 1.4.2_05 lub Java Virtual Machine (JVM)
5.0.0.3810.
Konfiguracja SDM
Router# configure terminal
Włączenie serwera HTTP na Routerze:
Router(config)# ip http server
Włączenie serwera HTTPS na Routerze:
Router(config)# ip http secure-server
Wybór metody uwierzytelniania przy połączeniu z SDM:
Router(config)# ip http authentication <local | enable>
Jeśli wybrano bazę lokalną musi być w niej zdefiniowany użytkownik o
najwyższym poziomie uprzywilejowania (15):
Router(config)# username <nazwa_użytkownika> privilege 15 password
<hasło>
Router(config)# line vty <nr_linii_vty_1> <nr_linii_vty_2>
Ustawienie zdalnego dostępu na najwyższym poziom uprzywilejowania (15):
Router(config-line)# privilege level 15
Router(config-line)# login <local | tacacs>
- 15 -
ZADANIE.06
Router(config-line)# transport input ssh
Instalacja SDM
- 16 -
ZADANIE.06
Weryfikacja SDM
Sprawdzenie czy w pamięci flash zostały zapisane pliki z SDM:
Router# show flash:
System flash directory:
File
Length
Name/status
1
5148536
c831-k9o3y6-mz.122-13.ZH1.bin
2
14617
sdm.shtml
3
669
sdmconfig-83x.cfg
4
2290688
sdm.tar
5
14617
sdm.shtml.hide
6
1446
home.html
7
214016
home.tar
8
1446
home.html.hide
[7686035 bytes used, 17434224 available, 24903680 total]
24576K bytes of processor board System flash (Read/Write)
Połączenie z SDM
Połączenie z SDM (podanie protokołu i adresu IP w przeglądarce internetowej):
- 17 -
ZADANIE.06
ASDM (Adaptive Security Device Manager)
Zasada działania ASDM
Wymagania ASDM

Przeglądarka obsługująca SSL.

Wyłączone blokowanie „wyskakujących okienek”.
- 18 -
ZADANIE.06
Konfiguracja ASDM
Włączenie serwera HTTPS (z ASDM):
ASA(config)# http server enable
IP hosta, maska sieci i nazwa interfejsu, z którego będzie możliwy dostęp do ASDM:
ASA(config)# http <adres_IP> <maska_sieci>
<nazwa_interfejsu>
Nazwa ASA i nazwa domeny, w której się znajduje:
ASA(config)# hostname <nazwa_urzadzenia>
ASA(config)# domain-name <nazwa_domeny>
Wybór miejsca, z którego będą pobierane dane do uwierzytelniania:
ASA(config)# aaa authentication http console <LOCAL |
nazwa_serwera>
Weryfikacja ASDM
ASA# show flash:
asa723-k8.bin
- IOS
asdm-523.bin
- ASDM
- 19 -
ZADANIE.06
Uruchomienie ASDM
Sprawozdanie



Połączyć się za pomocą HTTP Manager ze Switch.
……………………
……………………
o Jaki typ przełącznika jest konfigurowany?
……………………
Połączyć się za pomocą SDM z Routerem.
……………………
……………………
o Jaka jest całkowita pojemność pamięci flash?
……………………
Połączyć się za pomocą ASDM z ASA.
……………………
……………………
o Ile czasu urządzenie już pracuje?
……………………
- 20 -
ZADANIE.06
7. Czynności końcowe

Zapisać konfiguracje urządzeń na serwer TFTP.

Zgrać konfiguracje na pendrive.
- 21 -

ZiMSK.z06.(CLI_TELNE..

Transkrypt

Podobne dokumenty

ZiMSK.z06.(CLI_TELNE..

prl się śmieje! polska komedia filmowa lat 1945

Jak stworzyć silne hasło? – kilka prostych kroków 1. Weź cytat np. z

WSTĘP

Konfiguracja programu POS-Test v2.1 w przypadku problemów z

Ocena przedoperacyjna Andrzej Daszkiewicz

Tłumiki Metaloterm® ATSI

M3-SE-ASAiM3-SE-ASA-P