Topológiu si prv vyskúšajte zadať v Cisco Packet Tracer (Cisco PT), bez konfigurácie. Následne zapojte sieťové zariadenia podľa vyššie uvedenej logickej topológie.
Na pripomenutie:
Prechod z user-exec do privileged-exec módu:
> en (enable)
Prechod z priviledged-exec do global-config modu:
# conf t (configure terminal)
Otázka 1: Je zariadenie v predvolenom nastavení? Ako je to možné overiť?
Príkazy na zobrazenia stavu zariadenia:
# sh runn (show running-config) (config)# do sh runn
Príkaz na zobrazenia stavu rozhraní:
# sh ip int br (show ip interface brief) (config)# do sh ip int br
1. Nastavenie mena zariadenia
Meno smerovača, podľa vyššie uvedenej topológie, bude R1.
(config)# hostname [nazovZariadenia]
2. Konfigurácia zabezpečenia
Používané heslo bude cnl12345 a cnl123456 (vid. 2.3).
2.1. Konfigurácia nekryptovaného hesla do privilegovaného módu:
(config)# enable password [heslo]
Po konfigurácii overte funkčnosť hesla (exit do user-exec) a zobrazte bežiacu konfiguráciu.
Otázka 2: Je konfigurované heslo čitateľné? Prečo?
2.2. Automatické kryptovanie hesiel:
Zabezpečte, aby všetky zadané heslá boli automaticky kryptované do nečitateľnej formy.
(config)# service password-encryption
Opakujte príkaz pre zobrazenie bežiacej konfigurácie.
Otázka 3: Je konfigurované heslo čitateľné? Prečo?
2.3. Konfig. kryptovaného hesla do privileg. módu:
(config)# enable secret [heslo]
Otázka 4: Ako je v bežiacej konfigurácii heslo zapísané? Aké heslo IOS preferuje?
2.4. Nastavenie hesla do konzoly:
(config)# line console 0 (config-line)# password [heslo] (config-line)# login
Po konfigurácii overte funkčnosť hesla (exit do konzoly).
Otázka 5: Zistite kde sa v bežiacej konfigurácii nachádza nastavenie hesla do konzoly.
2.5. Upozornenie pre používateľov:
Zabezpečte, aby bol neznámy používateľ upovedomený o zákaze prístupu na zariadenie s textom „Pristup na toto zariadenie je zakazany“. V nižšie uvedenom príkaze nahraďte text.
(config)# banner motd *text*
Overte zobrazenie varovania (exit do konzoly).
2.6 Nastavenie min. dĺžky hesla:
Nastavte minimálnu dĺžku hesla na 6 znakov, overte funkčnosť zadaním ľubovoľného hesla o dĺžke menšej ako 6 znakov.
(config)# security passwords min-length [cislo]
2.7 Príklad nastavenia času
>enable #clock set 10:00:00 12 Feb 2018 #show clock
3. Konfigurácia IPv4 adresy na rozhraní smerovača
IPv4 adresa je uvedená pri Fa0/0 rozhraní, zadajte ju pri konfigurácii, maska podsiete bude 255.255.255.0 Rozhrania na smerovači sú v predvolenom stave vypnuté.
(config)# int [rozhranie] (interface) (config-if)# ip add [ipAdresa, maskaPodsiete] (ip address) (config-if)# no shut (no shutdown)
Otázka 6: Čo by sa stalo ak odpojíte konzolový kábel?
4. Konfig. vzdialeného nezabezpeč. (Telnet) pripojenia
Vzdialené pripojenie podstatné pre konfiguráciu zariadenia na diaľku. Domáce smerovače majú vzdialené pripojenie predkonfigurované. Heslo je z 2. úlohy.
(config)# line vty 0 15 (config-line)# password [heslo] (config-line)# login
Otázka 7: Čo predstavuje časť príkazu 0 15?
5. Nastavenie statickej IPv4 adresy na PC
Nastavte IPv4 adresu na PC podľa logickej topológie.
Po tlačení „OK“ zatvorte vlastnosti rozhrania na PC. PC nedajte reštartovať! Otestujte Telnet komunikáciu a odchyťte ju cez program Wireshark.
Otázka 8: Čo je predvolená brána?
6. Konfig. vzdialeného zabezpeč. (SSH) pripojenia
Vzdialené pripojenie používajúce Telnet protokol je nezabezpečené. SSH je protokol, ktorý umožňuje zabezpečené vzdialené pripojenie. Konfigurácia SSH predpokladá niekoľko krokov (prerekvizít).
6.1. Autentifikácia používateľa:
Príkazy nižšie vytvoria používateľa s menom cnl a heslom cnl12345.
(config)# username [pouzivat.Meno] secret [heslo]
Autentifikáciu používateľa (meno a heslo) vieme aplikovať aj do konzoly:
(config)# line console 0 (config-line)# login local
Otestujte fungovanie mena a hesla pre prístup do konzoly. (Pozn. posledné dve príkazy sú len ukážkou fungovania a nesúvisia priamo s SSH).
6.2. Nastavenie doménového mena
SSH vyžaduje nastavenie tohto parametru. Zadajte www.cnl.sk
(config)# ip domain-name [menoDomeny]
6.3. Generovanie kľúčov pre šifrovanie
Generovanie kľúčov je nevyhnutným predpokladom pre funkčnosť SSH. Dĺžku kľúča nastavte na 2048.
(config)# crypto key generate rsa
6.4. SSH pre vzdialené pripojenie:
(config)# line vty 0 4 (config-line)# login local (config-line)# transport input ssh
Otázka 9: Čo predstavuje časť príkazu 0 4?
7. Overenie konfigurácie
Na PC spustite PuTTY a vyberte SSH pripojenie, ako IP adresu zadajte bránu siete. V prípade korektného pripojenia odpojte konzolový kábel.
Otázka 10: Prečo pripojenie na smerovač stále funguje? Čo to zabezpečuje? Čo by sa stalo ak smerovač vypneme?
8. Uloženie konfigurácie
Pre uloženie konfigurácie existuje viac možností, použite ?
# copy [moznosti]
Otázka 11: Kde všade je možné konfiguráciu uložiť?
9. Vymazanie konfigurácie
Zariadenia sa používajú pre výučbu, po skončení práce vymažeme konfiguráciu a zariadenie reštartujeme.
# write erase # reload
10. Doplnové príkazy:
Otravné hlášky v Cisco IOS, napr. v priviledged-exec mode zadáme chybný príkaz vypíše:
# Translating...
Na to, aby sme tomu zabránili zadáme príkaz:
(config)# no ip domain-lookup
Iný prípad je, ak píšeme príkazy a zrazu sa niečo zmení, IOS nás o tom informuje, ale často ide o redundantnú informáciu. To, aby nám nerozhadzovalo príkazy pri písaní zabezpečím cez príkaz:
R1(config)# line console 0 R1(config-line)# logging synchronous
Pozor: Káble odložte na stojan. Pri konfigurácii nezabudnite používať klávesu TAB a otáznik pre zjednodušenie práce.
Po skončení cvičenia je potrebné zariadenia vypnúť! Smerovače zozadu a v prípade použitia prepínača cez predlžovacie napájanie.
11. Ping a traceroute
- ping urobí kontrolu konektivity na tretej vrstve s cieľovým zariadením s IP adresou w.x.y.z
- traceroute vypíše cestu (zoznam smerovačov) k cieľovému zariadeniu s IP adresou w.x.y.z
R1#ping w.x.y.z R1#traceroute w.x.y.z
Poznámka: všetky príkazy privilegovaného módu vieme zadať aj z globálneho konfiguračného alebo vyšších módov pridaním kľúčového slova do pred príkaz.
12. Príkazy zadávane v CMD na PC
12.1. Zobrazenie sieťových nastavení:
C:\>ipconfig C:\>ipconfig /all
12.2. Testovanie konektivity:
C:\>ping w.x.y.z C:\>tracert w.x.y.z
