работау2234. Лаб работа 5 Базовая настройка сетевого оборудования. Базовая настройка сетевого оборудования
Скачать 115.68 Kb.
|
Лабораторная работа №5 Тема: Базовая настройка сетевого оборудования ТЕОРЕТИЧЕСКАЯ ЧАСТЬ В этом упражнении вы осуществите базовую настройку коммутатора. Затем вам будет необходимо обеспечить безопасность доступа к интерфейсу командной строки (CLI) и портам консоли с помощью зашифрованных и текстовых паролей. Вы также научитесь настраивать сообщения для пользователей, выполняющих вход в систему коммутатора. Эти баннеры также предупреждают пользователей о том, что несанкционированный доступ запрещен. ИМЕНА УСТРОЙСТВ Вы многое узнали о Cisco IOS, навигации по IOS и структуре команд. Теперь вы готовы к настройке устройств! Первая задача конфигурации на любом устройстве - дать ему уникальное имя устройства или имя хоста. По умолчанию всем устройствам присваивается имя по умолчанию. Например, коммутатором Cisco IOS является "Switch." Если у всех устройств оставить имена по умолчанию, то будет сложно идентифицировать конкретное устройство. Например, как вы узнали, что вы подключены к нужному устройству при удаленном доступе к нему используя SSH? Имя хоста подтверждает, что вы подключены к нужному устройству. Имя по умолчанию должно быть изменено на более описательное. Если выбрать имена со смыслом, то запоминать, документировать и идентифицировать сетевые устройства будет легче. Вот несколько важных рекомендаций по выбору имени хоста: начинаться с буквы не содержать пробелов оканчиваться на букву или цифру содержать только буквы, цифры и тире состоять не более чем из 64 символов Организация должна выработать общее правило об именах устройств, которое позволяет легко и интуитивно идентифицировать конкретное устройство. В именах узлов, используемых в устройствах IOS, сохраняются все прописные и строчные символы. Например, на рисунке показаны три коммутатора, расположенные на трех разных этажах, связаны друг с другом по сети. В соглашении об именовании учитывается местоположение и назначение каждого устройства. В сетевой документации выбор этих имен необходимо объяснить, чтобы можно было назначить дополнительным устройствам соответствующие имена. После определения соглашения об именовании нужно присвоить устройствам имена с помощью CLI. Как показано в примере, из привилегированного режима EXEC перейдите в режим глобальной конфигурации с помощью команды configure terminal. Обратите внимание на изменение в диалоге командной строки. Switch# configure terminal Switch(config)# hostname Sw-Floor-1 Sw-Floor-1(config)# В режиме глобальной конфигурации введите команду hostname, а затем имя коммутатора и нажмите клавишу Enter. Обратите внимание на изменение имени в диалоге командной строки. Примечание: Чтобы удалить настроенное имя узла и вернуть стандартный диалог командной строки для коммутатора, используйте команду глобальной конфигурации no hostname. Каждый раз, когда добавляется или изменяется устройство, должна обновляться документация. В этой документации устройствам должно быть присвоено местоположение, назначение и адрес. ПРАВИЛА ВЫБОРА ПАРОЛЕЙ Использование слабых или легко угадываемых паролей по-прежнему является самой большой проблемой безопасности организаций. Для сетевых устройств, включая домашние беспроводные маршрутизаторы, всегда необходимо задавать пароли, чтобы ограничить административный доступ. В Cisco IOS можно настроить пароли иерархических режимов, чтобы предоставлять разные права доступа к сетевому устройству. Все сетевые устройства должны ограничивать административный доступ, защищая привилегированный доступ EXEC, пользовательский EXEC и удаленный доступ Telnet с помощью паролей. Кроме того, все пароли должны быть зашифрованы и должны быть настроены уведомления о том, что лишь авторизованным пользователям можно получить доступ к устройству. Используйте надежные пароли, которые сложно подобрать. При выборе паролей необходимо учитывать некоторые ключевые моменты: Используйте пароли длиной более 8 символов. Используйте сочетание букв в верхнем и нижнем регистре, цифр, специальных символов и (или) числовых последовательностей. Не используйте одинаковый пароль для всех устройств. Не используйте часто употребляющиеся слова, поскольку их легко подобрать. Используйте поиск в Интернете, чтобы найти генератор паролей. Многие из них позволят вам установить длину, набор символов и другие параметры. Примечание: В большинстве лабораторных работ этого курса используются простые пароли, такие как cisco или class. Эти пароли ненадежны и их легко подобрать, поэтому использовать их в рабочей среде не рекомендуется. Мы используем эти пароли лишь для удобства работы в учебной аудитории или для демонстрации примеров. НАСТРОЙКА ПАРОЛЕЙ При первоначальном подключении к устройству вы находитесь в пользовательском режиме EXEC. Этот режим защищен с помощью консоли. Для обеспечения доступа пользователя в режиме EXEC введите режим конфигурации консоли линии с помощью команды глобальной конфигурации line console 0, как показано в примере. Ноль используется для обозначения первого (а в большинстве случаев — единственного) интерфейса консоли. Затем задайте пароль пользовательского режима EXEC с помощью команды password password. Наконец, включите доступ к пользовательскому режиму EXEC с помощью команды login. Sw-Floor-1# configure terminal Sw-Floor-1(config)# line console 0 Sw-Floor-1(config-line)# password cisco Sw-Floor-1(config-line)# login Sw-Floor-1(config-line)# login Sw-Floor-1# Теперь для доступа к пользовательскому режиму EXEC с консоли будет необходим пароль. Чтобы иметь доступ администратора ко всем командам IOS, включая настройку устройства, необходимо получить привилегированный доступ режима EXEC. Это самый важный метод доступа, поскольку он обеспечивает полный доступ к устройству. Для защиты доступа к привилегированному режиму EXEC используйте команду глобальной конфигурации enable secret password. Sw-Floor-1# configure terminal Sw-Floor-1(config)# enable secret class Sw-Floor-1(config)# exit Sw-Floor-1# Линии виртуального терминала (VTY) обеспечивают удаленный доступ к устройству через Telnet или SSH. Большинство коммутаторов Cisco поддерживают до 16 линий VTY, пронумерованных от 0 до 15. Чтобы защитить VTY, войдите в режим line VTY, используя команду глобальной конфигурации line vty 0 15. Затем задайте пароль VTY с помощью команды password password . Наконец, включите доступ к VTY с помощью команды login. Пример защиты линий VTY на коммутаторе приведен ниже. Sw-Floor-1# configure terminal Sw-Floor-1(config)# line vty 0 15 Sw-Floor-1(config-line)# password cisco Sw-Floor-1(config-line)# login Sw-Floor-1(config-line)# end Sw-Floor-1# ШИФРОВАНИЕ ПАРОЛЕЙ Файлы конфигурации startup-config и running-config отображают большинство паролей в виде простого текста. Это создает угрозу безопасности, поскольку при наличии доступа к этим файлам любой пользователь может увидеть пароли. Чтобы зашифровать все пароли открытого текста, используйте команду глобальной конфигурации service password-encryption, как показано в примере. Sw-Floor-1# configure terminal Sw-Floor-1(config)# service password-encryption Sw-Floor-1(config)# Команда применяет слабый алгоритм шифрования ко всем незашифрованным паролям. Шифрование применяется только к паролям в файле конфигурации, но не к паролям, которые отправлены по сети. Эта команда не позволяет неавторизованным пользователям прочитать пароли в файле конфигурации. С помощью команды show running-config убедитесь, что пароли зашифрованы. Sw-Floor-1(config)# end Sw-Floor-1# show running-config БАННЕРНЫЕ СООБЩЕНИЯ Хотя пароли защищают сеть от несанкционированного доступа, необходимо использовать уведомления о том, что лишь авторизованным пользователям можно получить доступ к устройству. Для этого нужно добавить баннер в выходные данные устройства. Баннеры могут стать важной частью судебного процесса, если пользователь был обвинен в несанкционированном доступе. Отдельные законодательства не разрешают возбуждать судебные дела против пользователей или даже просто следить за их действиями без предупреждения. Чтобы создать баннерное сообщение дня на сетевом устройстве, используйте команду глобальной конфигурации banner motd # the message of the day #. Символ «#» в синтаксисе команды называется разделителем. Он вводится до и после сообщения. Разделителем может быть любой символ, которого нет в самом сообщении. Поэтому часто используются такие символы, как «#». После выполнения команды баннер будет отображаться при всех последующих попытках доступа к устройству, пока не будет удален. В следующем примере показаны шаги по настройке баннера на Sw-Floor-1. Sw-Floor-1# configure terminal Sw-Floor-1(config)# banner motd #Authorized Access Only# ФАЙЛЫ КОНФИГУРАЦИИ Теперь вы знаете, как выполнять базовую настройку коммутатора, включая пароли и баннерные сообщения. В этом разделе показано, как сохранить конфигурацию. Конфигурация устройства хранится в двух системных файлах. startup-config - Это сохраненный файл конфигурации, который хранится в NVRAM. Он содержит все команды, которые будут использоваться при загрузке или перезагрузке Содержимое Флеш-накопителя не теряется при выключении питания устройства. running-config - Это файл текущей конфигурации, хранится в оперативной памяти (RAM). Он отражает текущую конфигурацию. Изменения текущей конфигурации незамедлительно влияют на работу устройства Cisco. ОЗУ — энергозависимая память. После отключения питания или перезагрузки устройства ОЗУ теряет все свое содержимое. Команда привилегированного режима EXEC show running-config используется для просмотра текущей конфигурации. Для просмотра файла загрузочной конфигурации используйте команду привилегированного режима EXEC show startup-config. Однако при отключении питания или перезапуске устройства все не сохраненные изменения конфигурации будут потеряны. Чтобы сохранить изменения текущей конфигурации в файле загрузочной конфигурации, используйте команду привилегированного режима EXEC copy running-config startup-config (Теперь вы выполнили резервное копирование файла конфигурации в NVRAM, чтобы обеспечить сохранение сделанных настроек при перезагрузке системы или отключении питания). Если нежелательные изменения были сохранены в файл начальной конфигурации, возможно, придется удалить все конфигурации. Для этого нужно удалить начальную конфигурацию и перезапустить устройство. Загрузочную конфигурацию можно удалить с помощью команды привилегированного режима EXEC erase startup-config. После ввода команды появится запрос о подтверждении. Нажмите клавишу Enter для подтверждения. После удаления начальной конфигурации из NVRAM перезапустите устройство, чтобы удалить файл текущей конфигурации из ОЗУ. При перезагрузке на коммутаторе применяется загрузочная конфигурация по умолчанию, с которой изначально поставлялось устройство. ПРАКТИЧЕСКАЯ ЧАСТЬ Задачи: Осуществите защищенный доступ к управлению коммутаторов. Последовательность действий: • Назначение имени устройству. • Безопасный пользовательский доступ EXEC. • Безопасный привилегированный доступ EXEC. • Защищенный доступ к VTY. • Зашифруйте все открытые пароли. • Показать баннер при входе на устройство. • Сохраните файл конфигурации в NVRAM. Для указанной топологии: В качестве имен устройств используйте фамилию-инициалы-номер устройства. Пример: Ivanov-AN-1 В качестве пароля используйте для пользовательского доступа (в консоль) свою фамилию, для привилегированного доступа имя. Для VTY отчество. Контрольные вопросы. 1. Расскажите о правилах в выборе имен оборудованию? 2. Расскажите о правилах выбора пароля к оборудованию? |