Академический Документы
Профессиональный Документы
Культура Документы
Laboratorium nr. 4
Wyprowadzone na panelu gniazda konsol w postaci złączy RJ-45 umożliwiają zestawianie połączeń
ze stanowisk komputerowych z wykorzystaniem infrastruktury sieciowej pracowni (złącza płaskie).
Zestawienie połączeń logicznych (za pomocą oprogramowania do obsługi RS-232).
Posiadając poprawnie zrealizowane połączenie fizyczne na komputerze należy uruchomić program
do obsługi połączenia RS232. Zazwyczaj wykorzystuje się do tego celu programu Putty dostępnego
dla większości popularnych systemów operacyjnych (ustawienia: COM1 - Windows lub ttyS0 - linux,
9600, 8N1, bez sprzętowej kontroli przepływu). Alternatywne oprogramowanie: TerraTerm (Windows),
Minicom (Linux)
wszystkich urządzeń, które są podłączone do jego portów. Używa on informacji z tablicy adresów
MAC do wysłania ramek skierowanych do konkretnego urządzenia poprzez port, który został
przypisany do tego urządzenia. Przełącznik zapełnia tablicę adresów MAC bazując również na
adresach źródłowych MAC. Kiedy przełącznik otrzymuje ramkę przychodzącą zawierającą adres
MAC, który nie istnieje w tablicy adresów MAC, przesyła on tę ramkę na wszystkie porty (tzw.
zalewanie portów) z wyjątkiem portu wejściowego. Kiedy urządzenie docelowe odpowie, przełącznik
dodaje do tablicy adres źródłowy z ramki i numer portu, do którego nadeszła ta ramka. W sieciach z
wieloma połączonymi ze sobą przełącznikami, tablica adresów MAC może zawierać wiele adresów
MAC przypisanych do pojedynczego portu.
Domena kolizyjna i rozgłoszeniowa
Domena kolizyjna to segment sieci, w którym urządzenia muszą konkurować ze sobą
o możliwość komunikacji, ponieważ jeżeli w takim segmencie dwa lub więcej urządzeń chce nadawać
w tym samym czasie, mogą wystąpić kolizje. Możliwe jest jednak użycie innych urządzeń sieciowych
(np. przełączników lub routerów) działających zgodnie z modelem TCP/IP, które umożliwiają podział
sieci na segmenty i zmniejszenie liczby urządzeń rywalizujących o pasmo. Każdy nowy segment
wprowadza nową domenę kolizyjną. Każdy port przełącznika jest podłączony do pojedynczego
komputera i każdy port przełącznika reprezentuje osobną domenę kolizyjną.
Domena rozgłoszeniowa to obszar sieci, w którym można odebrać ramkę rozgłoszeniową.
Przełączniki przekazują ramki rozgłoszeniowe do wszystkich portów, dlatego przełączniki nie dzielą
domen rozgłoszeniowych. Wszystkie porty przełącznika w swojej podstawowej konfiguracji należą do
jednej domeny rozgłoszeniowej. Jeśli dwa lub więcej przełączniki są połączone, rozgłoszenia
przesyłane są do wszystkich portów na wszystkich przełącznikach, z wyjątkiem portu, na którym został
on odebrany.
Tryby pracy IOS
Tryby systemu IOS na routerach i przełącznikach są do siebie bardzo podobne. Interpreter poleceń
(CLI) korzysta z hierarchicznej struktury tych trybów. Zgodnie z zastosowaną hierarchią wymieniając
od najbardziej podstawowych do najbardziej wyspecjalizowanych mamy następujące tryby:
• Tryb użytkownika (User EXEC)
• Tryb uprzywilejowany (Privileged EXEC)
• Tryb konfiguracji globalnej
• Pozostałe szczegółowe tryby konfiguracji, takie jak tryb konfiguracji interfejsu.
Dla odróżnienia od siebie poszczególnych trybów, każdy z nich posiada charakterystyczny znak
zachęty. Każdy z trybów przeznaczony jest do realizacji konkretnych zadań, których wykonanie
możliwe jest dzięki dostępnemu zestawowi komend. Na przykład tryb konfiguracji globalnej pozwala
konfigurować ustawienia, które dotyczą urządzenia jako całości. W trybie tym konfigurowana jest
między innymi nazwa urządzenia. Jednakże w przypadku gdy należy skonfigurować na przykład
ustawienia bezpieczeństwa na konkretnym porcie przełącznika trzeba przejść do innego trybu. W tym
przypadku będzie to tryb konfigurowania interfejsu dla konkretnego portu. Wszystkie ustawienia
dokonane w tym trybie konfiguracji będą dotyczyły tylko wybranego portu.
Hierarchiczna struktura trybów pozwala na zwiększenie bezpieczeństwa dotyczącego dokonywania
zmian w konfiguracji urządzenia. Oznacza to, że przy przechodzeniu do innego poziomu w
hierarchicznej strukturze trybów konfiguracji może być wymagana dodatkowa autoryzacja
użytkownika. Dzięki takiemu rozwiązaniu możliwe jest przyznawanie różnego poziom dostępu dla
poszczególnych użytkowników. Rysunek przedstawia strukturę trybów konfiguracyjnych IOS z ich
typowymi znakami zachęty i własnościami.
Dwoma podstawowymi trybami pracy są: tryb EXEC użytkownika oraz uprzywilejowany tryb EXEC.
Jako element bezpieczeństwa, oprogramowanie IOS dzieli sesję EXEC na dwa poziomy dostępu. Jak
pokazano na rysunku tryb uprzywilejowany ma wyższy poziom uprawnień, który daje użytkownikowi
szersze możliwości oddziaływania na urządzenie.
Laboratorium Sieci Komputerowych.
Zabezpieczenia portu
Przed wdrożeniem przełącznika do sieci w której ma pracować trzeba zabezpieczyć wszystkie
jego porty (interfejsy). Jednym ze sposobów jest wykorzystanie funkcji o nazwie zabezpieczenia portu.
Zabezpieczenia portu ograniczają liczbę poprawnych adresów MAC obsługiwanych przez port. Tylko
autoryzowane adresy MAC mają dostęp do sieci, podczas gdy inne adresy MAC są odrzucane.
Zabezpieczenia portów mogą być skonfigurowane tak, by zezwalały na dostęp jednemu lub więcej
adresów MAC. Jeżeli liczba adresów MAC dopuszczonych na porcie jest ograniczona do jednego, to
tylko urządzenie z tym adresem MAC można podłączyć portu. Jeżeli port jest skonfigurowany z
zabezpieczeniem i osiągnięta jest maksymalna liczby adresów MAC, wszelkie dodatkowe próby
połączenia przez nieznane adresy MAC generują naruszenie zabezpieczeń.
Istnieje kilka sposobów skonfigurowania zabezpieczeń portów. Bezpieczny adres jest oparty na
konfiguracji i obejmuje:
• Bezpieczne statyczne adresy MAC - adresy MAC, które są ręcznie skonfigurowane na porcie za
pomocą polecenia switchport port-security mac-address adres-mac w trybie konfiguracji interfejsu.
Skonfigurowane w ten sposób adresy MAC są przechowywane w tablicy adresów i dodawane do
bieżącej konfiguracji przełącznika.
• Bezpieczne dynamiczne adresy MAC - adresy MAC rozpoznawane są dynamicznie i następnie
przechowywane w tablicy adresów. Skonfigurowane w ten sposób adresy MAC są usuwane przy
restartowaniu przełącznika.
• Bezpieczne przyklejone adresy MAC - adresy MAC, które mogą być dynamicznie rozpoznane lub
ręcznie skonfigurowane, następnie zapisane w tablicy adresów i dodane do bieżącej konfiguracji.
Bezpieczne przyklejone adresy MAC
Aby skonfigurować interfejs do konwersji dynamicznie rozpoznanych adresów MAC na bezpiecznie
przyklejone adresy MAC i dodać je do bieżącej konfiguracji, należy włączyć przyklejone
rozpoznawanie. Przyklejone rozpoznawanie jest włączane na interfejsie za pomocą polecenia trybu
konfiguracji interfejsu switchport port-security mac-address sticky.
Laboratorium Sieci Komputerowych.
2. Konfiguracja przełącznika
a. Uruchomić program Tera Term skrótem z pulpitu lub menu start. Jeżeli program Tera Term nie jest
zainstalowany na PC, można ściągnąć go z linku Tera Term:
http://logmett.com/index.php?/download/free-downloads.html
d. W oknie dialogowym New Connection wybrac opcję Serial. Wybrać właściwy port COM
e. Aby zweryfikować ustawienia, z menu Tera Term należy wybrać Setup a następnie Serial port….
Domyślne ustawienia portu konsoli to: 9600 b/s, 8 bitów danych, brak bitu kontroli parzystości, 1 bit
stopu i brak kontroli przepływu. Ustawienia domyślne programu Tera Term są zgodne z
ustawieniami portu do komunikacji z konsolą przełącznika Cisco IOS.
Laboratorium Sieci Komputerowych.
f. Kiedy na ekranie pojawią się informacje terminala przełącznik jest gotowy do konfiguracji. Poniższy
przykład przedstawia widok terminala podczas uruchamiania przełącznika.
Uwaga: Jeśli nie zobaczysz tego komunikatu skorzystaj z dodatku A na końcu tej instrukcji lub
skontaktuj się z prowadzącym w celu usunięcia konfiguracji przełącznika.
g. Będąc zalogowany na przełączniku w trybie użytkownika EXEC, wyświetl jego wersję IOS oraz
pdstawowe informacje o urządzeniu.
HP ProCurve Switch 2524> show version
Image stamp: /sw/code/build/info(s02)
May 31 2007 11:35:17
F.05.61
439
HP ProCurve Switch 2524> show system-information
Której wersji obrazu systemu IOS obecnie używa konfigurowany przez Ciebie przełącznik?
_________________________________________________________________________________
i. Skonfigurować ustawienia zegara. Znak zapytania (?) dostarcza podpowiedzi dotyczących składni i
oczekiwanych opcji komend umożliwiających konfigurację aktualnego czasu, daty i roku.
HP ProCurve Switch 2524(config)# time ?
MM/DD[/[YY]YY] New date
HH:MM[:SS] New time
daylight-time-rule The daylight savings time rule for your location
begin-date The begin date of daylight savings time
end-date The end date of daylight savings time
timezone The number of minutes your location is West(-) or
East(+) of GMT
j. Wpisz polecenie show time, aby sprawdzić, czy ustawienie zegara zostało zaktualizowane.
HP ProCurve Switch 2524# show time
Fri Mar 15 11:11:11 2019
Pytania
1. Jak można zapobiec dostęp osoby nieupoważnionej do urządzenia Cisco poprzez port konsoli?
______________________________________________________________________________
______________________________________________________________________________
2. Jakie są wady i zalety korzystania z połączenia konsoli szeregowej w porównaniu do połączenia
konsoli USB do routera lub przełącznika Cisco?
______________________________________________________________________________
______________________________________________________________________________
Laboratorium Sieci Komputerowych.
Topologia
Tabela adresacji
a. Ustaw statyczny adres IP (zgodny z tabelą adresacji) dla karty sieciowej podłączonej do
przełącznika odpowiednio dla PC-A 192.168.1.10/24, podłączonego do S1 oraz 192.168.1.11/24
dla PC-B, podłączonego do S2. Brama domyślna nie została skonfigurowana, ponieważ w
zbudowanej sieci nie ma podłączonego routera. Sprawdź ustawienie komputera oraz jego
połączenie.
b. Sprawdzić ustawienia komputera i jego połączenie za pomocą polecenia ipconfig /all oraz za
pomocą polecenia ping 192.168.1.11 z PC-A oraz ping 192.168.1.10 z PC-B zweryfikować
łączność pomiędzy komputerami. Jeśli polecenie ping nie zostało wykonane pomyślnie, znajdź i
napraw błędy?
a. Korzystając z Tera Term, należy nawiązać połączenie konsolowe z PC-A do przełącznika S1 oraz
z PC-B do przełącznika S2. Konfigurację przełączników każdy wykonuje samodzielnie. Jedna
osoba konfiguruje przełącznik S1 a druga S2. Różnica w konfiguracji przełącznika S2 polega
jedynie na użyciu nazwy S2.
b. Przejdź do uprzywilejowanego trybu EXEC. W uprzywilejowanym trybie EXEC, można uzyskać
dostęp do wszystkich poleceń przełącznika. W zestawie poleceń trybu użytkownika
uprzywilejowanego dostępne jest między innymi polecenie configure umożliwiające uzyskanie
dostępu do pozostałych trybów poleceń. Aby wejść do trybu uprzywilejowanego EXEC należy
wprowadzić komendę enable.
HP ProCurve Switch 2524#disable
HP ProCurve Switch 2524>enable
HP ProCurve Switch 2524#
Znak zachęty zmienił się z HP ProCurve Switch 2524> na HP ProCurve Switch 2524#, który
wskazuje na przejście do trybu uprzywilejowanego EXEC.
e. Za pomocą polecenia configure terminal przejdź do trybu konfiguracji globalnej.
HP ProCurve Switch 2524# configure terminal
HP ProCurve Switch 2524(config)#
Należy zwrócić uwagę na zmianę symbolu zachęty odzwierciedlającą przejście do konfiguracji
globalnej.
f. Za pomocą polecenia hostname, zmienić nazwę przełącznika na S1 (odpowiednio nazwa dla
S2)
HP ProCurve Switch 2524(config)# hostname S1
S1(config)#
Laboratorium Sieci Komputerowych.
g. Wprowadzić lokalne hasła. Hasła muszą być skonfigurowane, aby zapobiec nieautoryzowanemu
dostępowi do przełącznika.
S1(config)# password manager
New password for Manager: class
Please retype new password for Manager: class
S1(config)# password operator
New password for Operator: cisco
Please retype new password for Operator: cisco
S1(config)#exit
h. Zapisanie konfiguracji bieżącej jako konfiguracji startowej w nieulotnej pamięci RAM (NVRAM).
S1# write memory
S1#
hostname "S1"
cdp run
snmp-server community "public" Unrestricted
vlan 1
name "DEFAULT_VLAN"
untagged 1-26
ip address dhcp-bootp
exit
no aaa port-access authenticator active
password manager
password operator
S1#
System Name : S1
System Contact :
System Location :
Time Zone : 0
Daylight Time Rule : None
Laboratorium Sieci Komputerowych.
c. Aby sprawdzić status podłączonych interfejsów przełącznika, należy użyć polecenia show ip
interface brief .
S1# show interfaces brief
Status and Counters - Port Status
| Intrusion Flow Bcast
Port Type | Alert Enabled Status Mode Ctrl Limit
---- --------- + --------- ------- ------ ---------- ----- ------
1 10/100TX | No Yes Up 100FDx off 0
2 10/100TX | No Yes Down 10FDx off 0
3 10/100TX | No Yes Down 10FDx off 0
4 10/100TX | No Yes Down 10FDx off 0
5 10/100TX | No Yes Down 10FDx off 0
6 10/100TX | No Yes Up 100FDx off 0
7 10/100TX | No Yes Down 10FDx off 0
8 10/100TX | No Yes Down 10FDx off 0
9 10/100TX | No Yes Down 10FDx off 0
10 10/100TX | No Yes Down 10FDx off 0
11 10/100TX | No Yes Down 10FDx off 0
12 10/100TX | No Yes Down 10FDx off 0
13 10/100TX | No Yes Down 10FDx off 0
14 10/100TX | No Yes Down 10FDx off 0
15 10/100TX | No Yes Down 10FDx off 0
16 10/100TX | No Yes Down 10FDx off 0
17 10/100TX | No Yes Down 10FDx off 0
18 10/100TX | No Yes Down 10FDx off 0
19 10/100TX | No Yes Down 10FDx off 0
20 10/100TX | No Yes Down 10FDx off 0
21 10/100TX | No Yes Down 10FDx off 0
22 10/100TX | No Yes Down 10FDx off 0
23 10/100TX | No Yes Down 10FDx off 0
24 10/100TX | No Yes Down 10FDx off 0
25 | No Yes Down off 0
26 | No Yes Down off 0
S1#
Laboratorium Sieci Komputerowych.
S1 S2
F0/1
F0/6
F0/18
b. Określić adres MAC, którego uczy się przełącznik, używając komendy show mac-address.
S1# show mac-address
S1# show mac-address 1-24
S1#walkmib ifphysaddress
Ile dynamicznych adresów MAC znajduje się w tablicy? ____________
Ile wszystkich adresów MAC znajduje się w tablicy? ____________
Czy dynamiczny adres MAC odpowiada adresowi komputera PC-A? ____________
Topologia
Tabela adresacji
W tym zadaniu należy wykonać konfigurację adresowania IP oraz wykorzystać adres IP do zdalnego
zarządzania przełącznikiem. Topologia jest taka sama jak w zadaniu 2. Konfigurację pozostawić z
zadania 2.
a. W celu umożliwienia zdalnego zarządzania w trybie konfiguracji globalnej należy ustawić adres IP
dla interfejsu SVI przełącznika.
S1# config t
S1#(config)# vlan 1
S1(vlan-1)# ip address 192.168.1.2 255.255.255.0
S1(vlan-1)# enable
Laboratorium Sieci Komputerowych.
hostname "S1"
time timezone 60
cdp run
no web-management
interface 1
no lacp
exit
interface 6
no lacp
exit
snmp-server community "public" Unrestricted
vlan 1
name "zdalny"
untagged 1-26
ip address 192.168.1.2 255.255.255.0
exit
c. Sprawdzić ustawienia komputerów i ich połączenia za pomocą polecenia ipconfig /all oraz za
pomocą polecenia ping adresy IP 192.168.1.10, 192.168.1.11, 192.168.1.2, 192.168.1.3 z PC-A z
PC-B zweryfikować łączność pomiędzy urządzeniami. Jeśli polecenie ping nie zostało wykonane
pomyślnie, znajdź i napraw błędy?
d. Usługi Telnet pozwala uzyskać zdalny dostęp do przełącznika S1 i S2 za pomocą adresu SVI.
Telnet to usługa oparta na protokole bez zabezpieczeń. Wszystkie informacje przesyłane przez
Telnet (hasła i polecenia) są przesyłane w postaci jawnego tekstu. W kolejnych zadaniach należy
korzystać z SSH (Secure Shell), aby uzyskać zdalny dostęp do urządzeń sieciowych. Uruchomić
program putty, wybrać rodzaj połączenia telnet, wpisać adres IP interfejsu SVI przełącznika.
Podać hasło dostępu cisco.
Laboratorium Sieci Komputerowych.
e. W sesji Telnet zapisać plik konfiguracyjny i zakończyć sesję Telnet za pomocą polecenia quit
S1# write memory
S1# end
Dlaczego musisz korzystać z połączenia konsolowego do wstępnej konfiguracji przełącznika?
Dlaczego nie można połączyć się z przełącznikiem przez Telnet lub SSH?
_________________________________________________________________________________
IP Port Number : 22
Timeout (sec) : 120
Server Key Size (bits) : 512
S1# sh ip ssh
IP Port Number : 22
Timeout (sec) : 120
Server Key Size (bits) : 512
S1#
S2(config)# interface 2-17
S2(eth-2-17)# disable
S2(eth-2-17)# exit
S2(config)# interface 19-24
S2(eth-19-24)# disable
S2(eth-19-24)# end
S2#
c. Weryfikacja statusu portów komendą show interface brief. Jaki jest status portów od F0/1 do
F0/24?
___________________________________________________________________________
d. Weryfikacja status serwera http komendą show console.
Jaki jest status zarządzania przez interfejs www? ___________________________
Jaki status zarządzania przez interfejs telnet? ___________________________
e. Wyłączenie zarządzania przez telnet oraz interfejs www na przełączniku.
S1(config)# no telnet-server
S1(config)# no web-managament
f. Zweryfikuj działanie powyższych poleceń. Jaki jest rezultat?
___________________________________________________________________________
Port Security
Port : 6
Laboratorium Sieci Komputerowych.
Authorized Addresses
--------------------
1c6f65-9181cd
Jaki parametry bezpieczeństwa portu F0/6? ___________________________
c. Wymuszenie naruszenia bezpieczeństwa portów.
S1(config)# interface 6
S1(eth-6)# disable
S1(eth-6)# exit
S1(config)# no port-security 6
S1(config)# port-security 6 learn-mode static
S1(config)# port-security 6 address-limit 1
S1(config)# port-security 6 mac-address 000000-000001
S1(config)# port-security 6 action send-disable
S1(config)# int 6
S1(eth-6)# enable
S1(eth-6)# exit
Port : 6
Learn Mode [Continuous] : Static Address Limit [1] : 1
Action [None] : Send Alarm, Disable Port
Authorized Addresses
--------------------
000000-000001
Port : 6
Learn Mode [Continuous] : Static Address Limit [1] : 2
Action [None] : Send Alarm, Disable Port
Authorized Addresses
--------------------
000000-000001
1c6f65-9181cd
g. Zweryfikować konfigurację
Dlaczego włącza się bezpieczeństwo portów na przełączniku?
______________________________________________________________________________
Laboratorium Sieci Komputerowych.