Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
UIS 1
dr inż. Łukasz Sturgulewski, [email protected], http://luk.kis.p.lodz.pl/
dr inż. Artur Sierszeń, [email protected]
UIS (Utrzymanie Infrastruktury Sieciowej)
UIS 2
UIS
Wybrane urządzenia sieciowe:
Switch
Router
Firewall
Wybrana topologia:
DLACZEGO?
subinterfaces, trunk
OUTSIDE
212.191.89.128 / 25
172.18.0.0 / 16
outside
security-level 0
dmz
security-level 50
10.10.0.0 / 16
VLAN Dyrekcja
sec.lev.8510.20.0.0 / 16
VLAN Pracownicy
sec.lev.80
10.2.0.0 / 16
VLAN Admin
sec.lev.95
ZiMSK - sieć laboratoryjna
Plan zajęć: Budowa sieci, „czyszczenie”
urządzeń
Podstawy konfiguracji (interfejsy)
Zarządzanie konfiguracjami
Routing dynamiczny i statyczny
Translacja adresów
VLAN, trunking, inter-VLAN routing
Zarządzanie konfiguracją urządzeń
(tryb tekstowy i graficzny)
Filtrowanie pakietów
Bezpieczeństwo portów
authentication-proxy
Konfiguracja 802.1x
Syslog
SNMP
DHCP
UIS 4
subinterfaces, trunk
OUTSIDE
212.191.89.128 / 25
172.18.0.0 / 16
79.96.21.160 / 28
outside
security-level 0
dmz
security-level 50
10.10.0.0 / 16
VLAN Dyrekcja
sec.lev.8510.20.0.0 / 16
VLAN Pracownicy
sec.lev.80
10.2.0.0 / 16
VLAN Admin
sec.lev.95
UIS - sieć laboratoryjna
UIS 5
Plan zajęć: konsola uwierzytelnianie – serwer AAA
enable uwierzytelnianie – serwer AAA
poziomy uprzywilejowania
privilege levels
ssh - router, switch, ASA
dostęp do router, switch, ASA - ze świata zewnętrznego
A - było na WinRadius
A - będzie na ACS
A - będzie na ACS
Syslog + NTP
odzyskiwanie konfiguracji przy braku hasła (serwera AAA)
upgrade, downgrade IOS (router, switch, ASA)
recovery IOS (router, switch, ASA)
subinterfaces, trunk
OUTSIDE
212.191.89.128 / 25
172.18.0.0 / 16
outside
security-level 0
dmz
security-level 50
10.10.0.0 / 16
VLAN Dyrekcja
sec.lev.8510.20.0.0 / 16
VLAN Pracownicy
sec.lev.80
10.2.0.0 / 16
VLAN Admin
sec.lev.95
UIS 6
Switch
Catalyst 8500 series
Catalyst 2950 series
IGX 8400 series
Catalyst 4000 series
Wydajność
Skalowalność
Obsługiwane
technologie
Uniwersalność
Zmiany w topologii ZiMSK
Przyłączenie do świata zewnętrznego (poprzez sieć laboratoryjną).
Co jest potrzebne aby naszą sieć przyłączyć do świata zewnętrznego / sieci laboratoryjnej?
UIS 16
NAT (SNAT) - Router
UIS 17
subinterfaces, trunk
OUTSIDE
212.191.89.128 / 25
172.18.0.0 / 16
outside
security-level 0
dmz
security-level 50
10.10.0.0 / 16
VLAN Dyrekcja
sec.lev.8510.20.0.0 / 16
VLAN Pracownicy
sec.lev.80
10.2.0.0 / 16
VLAN Admin
sec.lev.95
212.191.89.0/ 25
access-list 1 permit 212.191.89.128 0.0.0.127 ip nat pool IISpool 212.191.89.1 212.191.89.1 netmask 255.255.255.128 ip nat inside source list 1 pool IISpool overload
212.191.89.128/ 25
interface FastEthernet0/0 ip nat outside
interface FastEthernet0/1 ip nat inside
Zmiany w topologii ZiMSK
Zewnętrzny serwer DHCP
Większe możliwości konfiguracji, wspólny dla wielu sieci.
UIS 18
DHCP w sieci laboratoryjnej
UIS 19
OUTSIDE
10.0.0.0/8
192.168.1.0/24
176.16.0.0/16
200.200.200.0/24
outsidesecurity- level 0
dmz
security- level 50
insidesecurity- level 100
10.10.0.0/16
10.20.0.0/16
VLAN 10
VLAN 20
VLAN1
10.1.0.0/16
Serwery DHCP:
ASA / PIX
Router
Dedykowany serwer
UIS 20
DHCP
DHCP – Dynamic Host Configuration Protocol:
RFC 2131.
Architektura klient – serwer.
Automatyczna konfiguracja węzłów sieci.
Minimalizacja nakładów przy konfiguracji sieci IP.
Wiele konfigurowalnych przez DHCP parametrów (oczywiście IP najważniejsze).
Protokół warstwy 7 (aplikacji).
W warstwie 4 (transportowej) korzysta z UDP.
Klient wysyła komunikaty do serwera na port 67.
Serwer wysyła komunikaty do klienta na port 68.
UIS 21
DHCP
Klient DHCP (dynamiczna konfiguracja węzła): Windows,
Novell Netware,
Sun Solaris,
Linux,
MAC OS.
Uwaga: Urządzenia sieciowe takie jak routery, przełączniki czy serwery powinny mieć przydzielone statyczne adresy IP.
UIS 25
Format komunikatu DHCP
0 1 2 3 4 5 6 7 8 9 1
0
1
1
1
2
1
3
1
4
1
5
1
6
1
7
1
8
1
9
2
0
2
1
2
2
2
3
2
4
2
5
2
6
2
7
2
8
2
9
3
9
3
1
OPERACJA TYP SPRZĘTU DŁ. ADRESU SPRZ. ETAPY
IDENTYFIKATOR TRANSAKCJI
SEKUNDY ZNACZNIKI
ADRES IP KLIENTA
TWÓJ ADRES IP
ADRES IP SERWERA
ADRES IP ROUTERA
ADRES SPRZĘTOWY KLIENTA (16 oktetów)
...
NAZWA WĘZŁA SERWERA (64 oktety)
...
NAZWA PLIKU STARTOWEGO (128 oktetów)
...
OPCJE (zmienna długość)
...
UIS 26
Format komunikatu DHCP
Opis pól:
OPERACJA: Określa czy komunikat jest prośbą startową – 1 czy odpowiedzią startową – 2;
TYP SPRZĘTU: Typ sprzętu sieciowego (Ethernet – 1);
DŁUGOŚĆ ADRESU SPRZĘTOWEGO: Długość adresu sprzętowego (Ethernet – 6);
ETAPY: Klient wpisuje zero. Każde przekazanie tej prośby do innego serwera powoduje zwiększenie licznika o jeden.
IDENTYFIKATOR TRANSAKCJI: Liczba całkowita służąca do związania odpowiedzi z pytaniem;
SEKUNDY: Liczba sekund od startu klienta;
Od ADRES IP KLIENTA do NAZWA PLIKU STARTOWEGO: Pola, których wartości klient nie jest w stanie podać wypełnia zerami. Serwer wypełnia pola informacjami przeznaczonymi dla klienta (jeśli ADRES IP KLIENTA = 0 wtedy serwer wypełnia pole TWÓJ ADRES IP);
UIS 27
Format komunikatu DHCP - Opcje
Aby określić, który z komunikatów DHCP jest wysyłany należy następująco ustalić opcje:
KOD = 53;
DŁUGOŚĆ = 1;
WARTOŚĆ = 1 – 7; 1 – DHCPDISCOVER
2 – DHCPOFFER
3 – DHCPREQUEST
4 – DHCPDECLINE
5 – DHCPACK
6 – DHCPNACK
7 – DHCPRELEASE
KOD DŁUGOŚĆ WARTOŚĆ
DHCP Relay (przekazanie DHCP)
Standardowo serwer DHCP umieszczony jest w tej samej sieci co jego klienci. Jednak w złożonych środowiskach sieciowych gdzie wydzielonych jest wiele podsieci oznaczałoby to konieczność instalowania wielu serwerów DHCP. Rozwiązaniem tego problemu jest umieszczenie jednego serwera DHCP obsługującego wiele sieci (podsieci). W takiej koncepcji pojawia się jednak kolejny problem: zapytania DHCP (DHCPDISCOVER) wysyłane są przez klienta rozgłoszeniowo (broadcast), gdyż nie zna on konfiguracji sieci w momencie przyłączania do niej, a ruch rozgłoszeniowy jest standardowo filtrowany przez urządzenia L3 łączące sieci (podsieci) ze sobą.
W związku z tym wprowadzono usługę pozwalającą na przesyłanie ruchu protokołu DHCP pomiędzy sieciami (podsieciami). Nazywa się ona DHCP Relay.
UIS 28
DHCP Serwer
UIS 30
Pokazać na podstawie jakiej informacji w pakiecie DHCPDISCOVER serwer
DHCP decyduje o użytej puli adresowej (np. za pomocą Wireshark).
Konfiguracja DHCP Relay
UIS 31
•Podać adres IP serwera DHCP oraz nazwę sieci, w której się znajduje:
ASA(config)# dhcprelay server adres_IP sieć
•Włączyć usługę DHCP Relay dla wybranej sieci (na wybranym interfejsie): ASA(config)# dhcprelay enable sieć
•Zmienić domyślny adres IP w odpowiedzi serwera DHCP (DHCP reply) na adres IP wybranego interfejsu:
ASA(config)# dhcprelay setroute sieć
•Wprowadzić maksymalny czas odpowiedzi:
ASA(config)# dhcprelay timeout czas
Weryfikacja DHCP Relay
UIS 32
•Sprawdzić wymianę pakietów pomiędzy klientem DHCP, ASA a serwerem DHCP:
ASA# debug dhcprelay packet
ASA# debug dhcprelay event
IOS
Zarządzanie systemami operacyjnymi:
Switch
Router
ASA
IOS upgrade / downgrade
IOS recovery
UIS 33
UIS 34
Usuwanie hasła
Procedura usuwania hasła (konfiguracji): Sprawdź, czy komputer jest podłączony do portu konsoli i czy
jest otwarte okno programu HyperTerminal.
Sprawdź czy zostały założone hasła:
naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty: Switch>
wpisz polecenie enable, czy pojawił się znak zachęty Switch#
Jeśli choć jeden z trybów nie jest dostępny należy usunąć hasło.
Wyłącz przełącznik. Włącz go ponownie, przytrzymując wciśnięty klawisz MODE, który znajduje się z przodu przełącznika. Zwolnij klawisz MODE, gdy zgaśnie dioda LED oznaczona etykietą STAT.
UIS 35
Usuwanie hasła
Procedura usuwania hasła (konfiguracji): Aby zainicjować system plików należy użyć następujących poleceń:
flash_init
load_helper
Wpisz polecenie dir flash: aby sprawdzić zawartość pamięci flash przełącznika. Plik o rozszerzeniu .bin to system operacyjny np. c2900xl-c3h2s-mz.120-5.WC7.bin. Plik o nazwie config.text to plik z konfiguracją urządzenia (także hasłami).
Zmień nazwę pliku konfiguracyjnego wpisując polecenie: rename flash:config.text flash:config.old
Wpisz polecenie boot, aby rozpocząć ładowanie systemu operacyjnego.
Aby pominąć tryb setup należy nacisnąć Crtl+C.
Sprawdź czy hasła zostały usunięte: naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Switch>
wpisz polecenie enable, czy pojawił się znak zachęty Switch#
Jeśli mamy prompt Switch# oznacza to iż hasła zostały usunięte.
UIS 36
Usuwanie konfiguracji
Kasowanie konfiguracji: (2960, 2950, 2900) Switch> enable Switch# erase startup-config Switch# delete flash:vlan.dat
UIS 37
Usuwanie hasła
(2600, 2800)
Sprawdź, czy komputer jest podłączony do portu konsoli i czy jest otwarte okno programu HyperTerminal.
Sprawdź czy zostały założone hasła:
naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Router>
wpisz polecenie enable, czy pojawił się znak zachęty Router#
Jeśli choć jeden z trybów nie jest dostępny należy usunąć hasło.
Wyłącz router. Włącz go ponownie.
Naciśnij kombinacje Crtl+Break aby przejść do trybu ROMMON.
Wpisz polecenie, które umożliwi pominięcie ładowania pliku konfiguracyjnego przy starcie systemu confreg 0x2142.
UIS 38
Usuwanie hasła
(2600, 2800)
Uruchom ponownie router, miękki restart, polecenie reset.
Router uruchomi się ale pominie plik konfiguracyjny.
Aby pominąć tryb setup należy nacisnąć Crtl+C.
Sprawdź czy hasła zostały usunięte:
naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Router>
wpisz polecenie enable, czy pojawił się znak zachęty Router#
Jeśli mamy prompt Router# oznacza to iż hasła zostały usunięte.
Przejdź do trybu config wprowadzając polecenie configure terminal.
Wprowadź polecenie config-register 0x2102 aby przywrócić wczytywanie pliku konfiguracyjnego przy starcie systemu.
UIS 39
Usuwanie konfiguracji
Kasowanie konfiguracji:
(2600, 2800)
Router> enable
Router# erase startup-config
Router# reload
System configuration has been modified. Save?
[yes/no]: n
Aby pominąć tryb setup należy nacisnąć Crtl+C.
UIS 40
Usuwanie hasła
(PIX 515E)
Sprawdź, czy komputer jest podłączony do portu konsoli i czy jest otwarte okno programu HyperTerminal.
Sprawdź czy zostały założone hasła:
naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Router>
wpisz polecenie enable, (przy pytaniu o hasło enter) czy pojawił się znak zachęty Router#
Jeśli choć jeden z trybów nie jest dostępny należy usunąć hasło.
Wyłącz pix. Włącz go ponownie.
Naciśnij kombinacje Crtl+Break aby przejść do trybu monitor.
UIS 41
Usuwanie hasła
(PIX 515E)
Skonfiguruj urządzenie tak aby można było pobrać z serwera TFTP plik
usuwający hasła:
Połącz host z serwerem TFTP z jeden z interfejsów Ethernet pix’a
Jeśli jest to interfejs 0 wpisz: interface 0
Nadaj adres IP temu interfejsowi: address 10.0.0.1
Podaj adres serwera TFTP (pamiętaj, że jego karta sieciowa musi być tak
skonfigurowana): server 10.0.0.2
Podaj nazwę pliku do odzyskiwania hasła (wersja pliku zależy od wersji
systemu): file np70.bin
Podaj adres bramy domyślnej: gateway 10.0.0.2
Sprawdź komunikację z serwerem: ping 10.0.0.2
Aby rozpocząć pobieranie pliku wydaj polecenie: tftp
Postępuj zgodnie z informacjami wyświetlanymi na konsoli, procedura
została zakończona.
UIS 42
Usuwanie hasła
(ASA 5510)
Power off the security appliance, and then power it on.
During the startup messages, press the Escape key when prompted to enter ROMMON.
To set the security appliance to ignore the startup configuration at reload, enter command:
rommon #1> confreg 0x40
Reload the security appliance by entering the following command:
rommon #2> boot
The security appliance loads a default configuration instead of the startup configuration.
Enter privileged EXEC mode by entering the following command:
hostname> enable
When prompted for the password, press Return.
The password is blank.
Erase startup-config
hostname# write erase
Enter global configuration mode by entering the following command:
hostname# configure terminal
Change the configuration register to load the startup configuration at the next reload by entering the following command:
hostname(config)# config-register 0x1
UIS 43
Usuwanie konfiguracji
Kasowanie konfiguracji:
(515E, 5510)
pix> enable
pix# configure terminal
pix(config)# write erase
- usunięcie zapisanej konfiguracji (startup-config)
pix(config)# clear configure all
- usunięcie bieżącej konfiguracji (running-config)