From 75e34852f25e513e69ae70f1b4fb33b38e833ebb Mon Sep 17 00:00:00 2001 From: xf0r3m Date: Sat, 6 Jul 2024 18:22:50 +0200 Subject: [PATCH] =?utf8?q?Zako=C5=84czenie=20rozdzia=C5=82u=201=20modu?= =?utf8?q?=C5=82u=202,=20kursu=20CCNA.?= MIME-Version: 1.0 Content-Type: text/plain; charset=utf8 Content-Transfer-Encoding: 8bit --- articles/terminallog/Cisco_-_CCNA.html | 399 ++++++++++++++++++++++++- 1 file changed, 390 insertions(+), 9 deletions(-) diff --git a/articles/terminallog/Cisco_-_CCNA.html b/articles/terminallog/Cisco_-_CCNA.html index d383942..dd50a83 100755 --- a/articles/terminallog/Cisco_-_CCNA.html +++ b/articles/terminallog/Cisco_-_CCNA.html @@ -5154,7 +5154,7 @@ Success rate is 80 percent (4/5), round-trip min/avg/max = 0/0/0 ms dwa tematy będą przy pomnieniem sobie kilku zagadnień z poprzedniego modułu.

-

2.1. Podstawowa konfiguracją urządzenia

+

2.1. Podstawowa konfiguracją urządzenia

Każde dostaczone urządzenie zawiera już jakąś konfigurację. Bez tego nie mogło by działać. Oczywiście ta konfiguracja ma z zadanie @@ -5163,7 +5163,6 @@ Success rate is 80 percent (4/5), round-trip min/avg/max = 0/0/0 ms jakie do tej pory poznaliśmy. Rozszerzymy wiedzę zawartą w podstawowej konfigurację przełącznika oraz routera o kilka nowych informacji.

-

Sekwencja rozruchowa przełącznika

Wiekszość urządzeń techniki komputerowej, niezależnie od tego jak prymitywne one nie są i jakie realizują zadania oparto o schemat @@ -5190,8 +5189,11 @@ Success rate is 80 percent (4/5), round-trip min/avg/max = 0/0/0 ms

  • Na końcu boot loader, odszukuje na powyższej pamięci obraz IOS i uruchamamia go i przekazuje mu kontrolę nad urządzeniem.
    • -

    Polecenie boot system

    + Jak w przypadku większości komputerów, czy to mniej lub bardziej + prymitywnych możemy kontrolować ich rozruch, jednym ze sposobów zmiany + sekewncji startowej urządzenia jest uzycie odpowiednich poleceń + systemu IOS. Polecenie boot system służy do ustawienia zmiennej środowiskowej BOOT. Przechowuje ona bowiem ścieżkę wskazującą na plik z system operacyjnym w tym wypadku z IOS. Jeśli @@ -5249,7 +5251,6 @@ NVRAM/Config file ponownie wyświetliłem informacje rozruchowe i w pierwszym wierszu widzimy naszą wskazaną ścieżkę.

    -

    Kontrolki LED przełącznika

    Przełączniki serii Catalist (powszechnie używane modele) firmy Cisco, nie posiadają wyświetlaczy, a jedynie zestaw diód nad portami @@ -5336,7 +5337,6 @@ NVRAM/Config file Zanim jednak odłączym go od prądu, naciśnijmy przycisk MODE kilka razy. Zawieszony przełącznik nie mógł by zmienić trybów.

    -

    Awaryjne przywaracanie urządzenia do ustawień fabrycznych

    Jednym z celów, dla których uczestniczymy w kursie CCNA jest poznanie możliwości wykorzystania sprzętu firmy Cisco, więc jeśli pracujemy na @@ -5455,7 +5455,6 @@ Loading "flash:/2960-lanbasek9-mz.150-2.SE4.bin"... Uruchamiając przełącznik w trybie opisanym powyżej, przechodzimy do czegoś, co można porównać do trybu awaryjnego.

    -

    Dostęp do zarządzania przełącznikami

    Reguła ta nie tyczy się tylko przełączników, ale i większości urządzeń firmy Cisco. Te urządzenia nie są skonfigurowane, do zdalnego @@ -5468,7 +5467,6 @@ Loading "flash:/2960-lanbasek9-mz.150-2.SE4.bin"... za opatrzenie się w adapter USB - RS232, dostępne są one za parę złotych na serwiach aukcyjnych czy sklepach internetowych.

    -

    Przykład konfiguracji SVI przełącznika

    Bawiąc się przełącznikami w porzednim module, wykorzystwaliśmy domyślny VLAN 1, jako SVI. Jednak ze względów bezpieczeństwa nie jest to dobrym @@ -5538,9 +5536,9 @@ Destination filename [startup-config]? Building configuration... [OK] -

    Ćwiczenie praktyczne - Laboratorium

    +

    Ćwiczenie praktyczne - Laboratorium

    - 2.1.1. Laboratorium - podstawowa konfiguracja przełącznika + Podstawowa konfiguracja przełącznika

    2.1.2. Konfiguracja portów przełącznika

    @@ -5672,6 +5670,389 @@ FastEthernet0/1 is up, line protocol is up (connected) late collisions). Informacje na ten temat mogą być pomocne, w diagnozowaniu stanu up/down.

    +

    2.1.3. Bezpieczny zdalny dostęp

    +

    + Pracując przy administracji sieciami komputerowymi, może zdażyć się + taka sytuacja, że trzeba będzie skonfigurować urządzenia, do których + dostęp fizyczny, aby podłączyć się konsolą może być utrudniony lub + w ogóle niedostępny. Na szczęście urządzenia firmy Cisco zapewniają + zdalny dostęp swoich urządzeń. To powinniśmy pamiętać z poprzedniego + modułu. +

    +

    + Do wyboru mamy przestarzały Telnet (23/TCP), który nie + zapewnia bezpieczeństwa transmisji, nie szyfruje przesłanych za jego + pośrednictwem informacji. Raczej nie jest już stosowany. +

    +

    + Inną opcją jest użycie lepszego protokołu, jakim jest + SSH + (ang. Secure SHell). SSH wykorzystuje silną krytpografię do + zabezpieczenia transmisji pomiędzy naszym komputerem, a urządzeniem. + Jeśli używamy protokołu SSH w wersji 2, szanse na podsłuchanie + transmisji, są nie mal, że nikłe. SSH wykorzystuje transmisję protokołu + TCP na porcie 22. +

    +

    + Nie wspominałbym gdyby nie to, że nie wszystkie urządzenia posiadają + obsługę kryptografii - przez co SSH może być dostępne. + Jak to sprawdzić? Otóż obsługę kryptografii możemy poznać po + nazwie pliku z systemem operacyjnym jeśli w nazwie + pliku występuje sekwencja k9 oznacza to, że w wersji + IOS dla tego urządzenia zaimplementowano kryptografię, a co za tym + idzie i obsługę SSH. Poniżej przedstawiam listing zawartości pamięci + flash z urządzeń, które mają możliwość wykorzystać SSH oraz + takich, w których nie ma takiej możliwości (wg. powyższej zasady). +

    +
    +# Przełącznik Catalyst 2960:
+Switch#dir flash:
+Directory of flash:/
+
+    1  -rw-     4670455          <no date>  2960-lanbasek9-mz.150-2.SE4.bin
+
+64016384 bytes total (59345929 bytes free)
+
+# Przełącznik Catalist 2950:
+Switch#dir flash:
+Directory of flash:/
+
+    1  -rw-     3058048          <no date>  c2950-i6q4l2-mz.121-22.EA4.bin
+
+64016384 bytes total (60958336 bytes free)
+
    +

    + W przypadku pierwszego przełącznika, sekwencja k9 znajduje się + w drugiej części nazwy pliku po ciągu znaku + lanbase. Inny sposobem na sprawdzenie + nazwy pliku z IOS jest wydanie polecenia + show version. +

    +

    + Uruchomienie SSH, było w podkoniec zeszłego modułu, ale, żeby ten + moduł był kompletny, przypmnimy sobie jak się to robi. Na początek + wydamy sobie polecenie: show ip ssh. + W przypadku urządzenie ze wsparciem kryptograficznym odpowiedź powinna + być następująca: +

    +
    +Switch#show ip ssh
+SSH Disabled - version 1.99
+%Please create RSA keys (of atleast 768 bits size) to enable SSH v2.
+Authentication timeout: 120 secs; Authentication retries: 3
+
    +

    + A jeśli polecenie wydamy na urządzeniu, które nie ma takich funkcji + (wg. opisywanej wcześniej zasady), jego odpowiedź będzie następująca: +

    +
    +Switch#dir flash:
+Directory of flash:/
+
+    1  -rw-     3058048          <no date>  c2950-i6q4l2-mz.121-22.EA4.bin
+
+64016384 bytes total (60958336 bytes free)
+Switch#show ip ssh
+SSH Enabled - version 1.99
+Authentication timeout: 120 secs; Authentication retries: 3
+
    +

    + Generalnie pomysł z rozponawaniem możliwości kryptograficznych wersji + IOS po nazwie pliku, nie jest złym pomysłem. Jest nowym pomysłem, ale + jego twórca, prawdopodobnie zapomniał, że wcześniej istniał inny + sposób. Dlatego też, nie warto tracić czasu na analizę nazwy pliku. + Najlepiej od razu powyższe polecenie. W urządzeniach z obsługą SSH oraz + silnej kryptografii, zwróci na ono takie informacje na jak na + powyższych przykładach. Jeśli takiego wsparcia nie będzie, to wówczas + to polecenie nie zostanie rozpoznane w ogóle. +

    +

    + Wracając do konfiguracji SSH. Musimy ustawić nazwę hosta oraz + nazwę domeny. +

    +
    +Switch(config)#hostname C2950
+C2950(config)#
+C2950(config)#ip domain-name example.com
+
    +

    + SSH w wersji 1, zawiera znane podatności i nie jest już wykorzystywane, + ani rozwijane. Więc aby użyć tej lepszej - 2 wersji SSH, musimy + wygenerować nową parę kluczy, o długości co najmniej 768 bitów, aby + móc włączyć SSH 2. Sugeruje nam to nawet informacja zwraca przez + polecenie show ip ssh: + %Please create RSA keys (of atleast 768 bits size) to enable SSH v2. + Aby wygenerowac parę kluczy, wydajemy poniższe polecenie w trybie + konfiguracji globalnej. Polecenie po uruchomieniu zapyta się o długość + klucza. Generalnie przyjęło się, że taką dolną bezpieczną granica są + klucze o długości 1024 bitów. Chociaż obecnie skłaniamy się do + tworzenia dwa razy dłużyszch kluczy - 2048 bitów. Ze względu na + powszchną dostępność dużej mocy obliczeniowej, tak krótkie klucze mogą + nie wystarczać. Jednak należy pamiętać, że dłuższy klucz spowoduje + większe obciążenie procesora urządzenia. Decyzja należy do nas. +

    +
    +C2950(config)#crypto key generate rsa
+The name for the keys will be: C2950.example.com
+Choose the size of the key modulus in the range of 360 to 4096 for your
+  General Purpose Keys. Choosing a key modulus greater than 512 may take
+  a few minutes.
+
+How many bits in the modulus [512]: 1024
+% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
+
+C2950(config)#
+
    +

    + Powyższe informacje, tak jak nazwa host oraz domeny, służą do + nazwania pary kluczy. SSH wymaga do uwierzytelniania nazwy użytkownika + oraz hasła. Urządzenia Cisco mogą do uwierzytelniania wykorzystać + specjalny serwer (RADIUS), lub lokalną bazę danych. Dla celów + szkoleniowych wykorzystamy lokalną bazę danych. Utworzymy użytkownika + admin z hasłem ccna. W trybie konfiguracji globalnej + wydajmy poniższe polecenie. +

    +
    +C2950(config)#username admin secret ccna
+
    +

    + Teraz możemy skonfigurować linie VTY, przełączniki Catalyst 2960 mają + zakres tych linii od 0 15. Aby skonfigurować linie VTY, tak aby + używały SSH wydajemy poniższe polecenia w trybie konfiguracji globalnej + oraz w trybie konfiguracji linii. +

    +
    +C2950(config)#line vty 0 15
+C2950(config-line)#transport input ssh
+C2950(config-line)#login local
+C2950(config-line)#exit
+
    +

    + Na koniec pozostaje nam wymusić wersję 2 protokołu SSH. Za pomocą + poniższego polecenia wydane w trybie konfiguracji globalnej: +

    +
    +C2950(config)#ip ssh version 2
+
    +

    + Przełączenie wersji, możemy zweryfikować za pomocą polecenia + show ip ssh. Przed wymuszeniem wersja + była 1.99, a obecnie jest: +

    +
    +C2950#show ip ssh
+SSH Enabled - version 2.0
+Authentication timeout: 120 secs; Authentication retries: 3
+
    +

    + Weryfikacji działania SSH, możemy dokonać próbując się podłączyć, + przy użyciu PuTTY lub innego klienta SSH. Obecnie są one wbudowane + we większość systemów operacyjnych. Połączenia SSH na urządzeniach + Cisco możemy sprawdzić za pomocą polecenia + show ssh. +

    +

    Ćwiczenie praktyczne - Packet Tracer

    +

    + Konfiguracja SSH - scenariusz
    + Konfiguracja SSH - zadanie +

    +

    2.1.4. Podstawowa konfiguracja routera

    +

    + Do tej pory skupialiśmy się głównie na przełącznikach, teraz zajmiemy + się routerem. Konfigurację routera, możemy podzielić na dwie części + część pierwsza skupia się głównie na konfiguracji i podstawowym + zabezpieczeniu systemu operacyjnego, bez konfiguracji interfejsów + sieciowych. Część druga skupia się na właśnie na tej części sieciowej, + ustawieniu interfejsów oraz ewentualnie tras. +

    +

    + Pierwszą częśc wałkowaliśmy na pierwszym module, drugą również dlatego + przedstawię je w postaci zwięzłego bloku kodu, jeśli coś będzie + wymagało wyjaśnienia to umieszcze je pod nim. +

    +
    +Router>ena
+Router#configure terminal
+Enter configuration commands, one per line.  End with CNTL/Z.
+Router(config)#hostname R1
+R1(config)#enable secret class
+R1(config)#line console 0
+R1(config-line)#password cisco
+R1(config-line)#login
+R1(config-line)#exit
+R1(config)#line vty 0 4
+R1(config-line)#password cisco
+R1(config-line)#login
+R1(config-line)#exit
+R1(config)#service password-encryption
+R1(config)#banner motd # Nieautoryzowany dostep jest zabroniony! #
+R1(config)#end
+R1#
+%SYS-5-CONFIG_I: Configured from console by console
+
+R1#copy running-config startup-config
+Destination filename [startup-config]? 
+Building configuration...
+[OK]
+
    +

    + Innym dość ważnym zadaniem podczas egzaminu może być ustawienie + aktualnej daty i czasu na urządzeniu. Dokonujemy tego za pomocą + polecnia clock set w + trybie uprzywilejowanym. +

    +
    +R1#clock set 18:20:00 6 Jul 2024
+
    +

    + Myślę, że te powyższe proste polecenia nie wymagają dodatkowego + omówienia. Teraz zajmiemy się częścią sieciową. Na kursie CCNA będziemy + operować na podwójnym stosie IP - dla IPv4 oraz IPv6 i w taki sposób + skonfigurujemy nasze interfejsy sieciowe. Na początku warto się + rozejrzeć, jakie interfejsy mamy dostępne w naszym urządzeniu. +

    +
    +Nieautoryzowany dostep jest zabroniony! 
+
+User Access Verification
+
+Password: 
+Password: 
+
+R1>ena
+Password: 
+R1#show ip interface brief
+Interface              IP-Address      OK? Method Status                Protocol 
+GigabitEthernet0/0     unassigned      YES NVRAM  administratively down down 
+GigabitEthernet0/1     unassigned      YES NVRAM  administratively down down 
+Serial0/0/0            unassigned      YES unset  down                  down 
+Serial0/0/1            unassigned      YES unset  down                  down 
+Vlan1                  unassigned      YES NVRAM  administratively down down
+R1#
+
    +

    + Kiedy już mniej więcej wiemy gdzie co ma być podłączone, możemy przejść + do właściwej konfiguracji portów. +

    +
    +R1#configure terminal
+Enter configuration commands, one per line.  End with CNTL/Z.
+R1(config)#interface gigabitethernet 0/0
+R1(config-if)#ip address 192.168.10.1 255.255.255.0
+R1(config-if)#ipv6 address 2001:db8:acad:1::1/64
+R1(config-if)#description LAN1
+R1(config-if)#no shutdown
+R1(config-if)#
+R1(config-if)#exit
+R1(config)#interface gigabitethernet 0/1
+R1(config-if)#ip address 192.168.11.1 255.255.255.0
+R1(config-if)#ipv6 address 2001:db8:acad:2::1/64
+R1(config-if)#description LAN2
+R1(config-if)#no shutdown
+R1(config-if)#exit
+R1(config)#interface Serial 0/0/0
+R1(config-if)#ip address 209.165.200.225 255.255.255.252
+R1(config-if)#ipv6 address 2001:db8:acad:3::225/64
+R1(config-if)#description WAN1
+R1(config-if)#no shutdown
+R1(config-if)#exit
+
    +

    + EXAM TIP: Warto używać polecenia description + podczas ustawiania interfejsów, nawet jeśli nas o to nie proszą czy nie + podanej wprost treści opisu interfejsu ważne, że polecenie zostało + wydane w trybie konfiguracji interfejsu. +

    +

    + Podczas konfiguracji routera, być może będzie potrzeba skonfigurowania + adresu pętli zwrotnej. Loopback fizycznie nie istnieje, jest + adresem programowym, konfigurowanych w celach testowych lub + pozostawnienia jednego co najmniej aktywnego portu na urządzeniu. + Pętlę zwrotną konfiguruje się w poniższy sposób. +

    +
    +R1(config)#interface loopback 0
+R1(config-if)#ip address 10.0.0.1 255.255.255.0
+R1(config-if)#exit
+
    +

    2.1.4. Ćwiczenie praktyczne - Packet Tracer

    +

    + Konfiguracja interfejsów routera - scenariusz
    + Konfiguracja interfejsów routera - zadanie +

    +

    2.1.5. Polecenia weryfikacji interfejsu

    +

    + Czasami po ustawieniu interfejsów, czy zmianie innej konfiguracji w + urządzeniach Cisco, chcielibyśmy zobaczyć czy gdzieś nie popełniśmy + błedu lub też znajdujemy się w sytuacji, w której coś jest nie tak, + coś nie działa jak należy i trzeba sprawdzić co jest nie tak. Poniżej + znajduje się lista przydatnych poleceń: +

    + +

    + Wyjścia polecenia show podelgają filtrowanie, podobnie jak na Uniksach, + stosuje się tutaj znak potoku (|), po znaku + filtrowania (potoku), może wystąpić jedno z czterech poleceń + filtrujących, a każde z nich przyjmuje jako argument + wyrażenie filtrujące. +

    +
      +
    • section - pokazuje całą sekcję + rozpoczynjące się od wyrażenia filtrującego
      • +
    • include - wyświetla linie pasujące + do wyrażenia filtrującego
      • +
    • exclude - wyklucza linie pasujące + do wyrażenia filtrującego
      • +
    • begin - pokazuje pozostałe linie + z wyjścia polecenia od określonego przez wyrażenie filtracyjne + wiersza.
      • +
    +

    + Jak mogliśmy spostrzec lub nie, IOS posiada historię. Historia poleceń + domyślnie przechowuje tylko 10 wprowadzonych poleceń, a poruszać się + poniej możemy albo zapomocą strzałek (góra - dół) lub kombinacji + klawiszy Ctrl+p i Ctrl+n (GNU Readline). Wielkość + bufora możemy kontrolować, wydając w trybie uprzywilejowanym polecenie + terminal history size N, + gdzie N jest ilością przechowywanych wierszy. +

    +
    +R1#terminal history size 200
+R1#show history
+  ena
+  show history
+  terminal history size 200
+  show history
+
+      
    
+        Innym polecenie dotyczącym historii, jest 
+        show history, wyświetla cały bufor
+        historii poleceń.
+      
    
+      
    2.1.5. Ćwiczenie praktyczne - Pakiet Tracer
    
+      
    
+        Weryfikacja bezpośrednio podłączonych sieci - scenariusz
    
+        Weryfikacja bezpośrednio podłączonych sieci - zadanie
+      
    
     
       	
 
-- 
2.39.5