Chyby v cvičení nahlasujte na ondrej.kainz@cnl.sk.
Pozn.: V závislosti na zariadení na ktorom pracujete môže byť LAN rozhranie buď gi0/0 alebo fa0/0, podobne se0/0/0 alebo se1/0/0. Dostupné rozhrania zistite cez show ip interface brief. Následne tomu prispôsobujete aj topológiu.
A. Konfigurácia zariadení:
- Nakonfigurujte smerovače R1 a R2 podľa topológie vyššie. Konfigurácia pozostáva z nastavenia hostname, konfigurácie rozhraní s IPv4 adresou podľa topológie.
- Nastavte statickú IP adresy na PC.
B. Konfigurácia dynamického smerovacieho protokolu OSPF:
1. Na oboch smerovačoch z globálneho konfiguračného módu:
(config)# router ospf 1
2. Použitím príkazu network zaveďte priamo pripojené siete do smerovacieho protokolu:
R1(config-router)# network 147.232.49.88 0.0.0.7 area 0
R1(config-router)# network 147.232.30.132 0.0.0.3 area 0
R2(config-router)# network 147.232.50.160 0.0.0.15 area 0
R2(config-router)# network 147.232.30.132 0.0.0.3 area 0
3. Rozhrania smerujúce do LAN nastavte ako pasívne:
R1(config-router)# passive-interface fa0/0
R2(config-router)# passive-interface fa0/0
4. Overenie vytvorenia OSPF susedstva:
# show ip ospf neighbor
5.Overenie naučených nových smerov cez OSPF (príznak v smerovacej tabuľke O):
# show ip route
Overenie konektivity: Realizujte ping z PC A na PC B a naopak. Ak nefunguje pokúste sa realizovať ping na lokálnu bránu suseda.
C. Konfigurácia OSPF autentifikácie s využitím SHA256 hash funkcie
Pozn.: Používané heslá sú pre edukačné účely zjednodušené.
Nakonfigurujte kľúčenku (keychain) na smerovači. Nasleduje ukážka pre sériovú linku medzi R1a R2.
- Vytvorte meno pre kľúčenku a číslo:
(config)# key chain klucenka
(config-keychain)# key 1 - Vytvorte autentifikačný reťazec pre kľúč:
(config-keychain-key)# key-string klucenkaheslo
- Nakonfigurujte šifrovací algoritmus s využitím SHA256 šifrovania:
(config-keychain-key)# cryptographic-algorithm hmac-sha-256
Ak príkaz nefunguje, nezadávate ho.
Nakonfigurujte rozhranie, aby využívalo OSPF autentifikáciu.
(Pozn. nefunguje v reálnej konfigurácii) Využite príkaz ip ospf authentication pre priradenie kľúčenky key-chain na rozhraniach smerovača:
R1(config)# interface s0/0/0
R1(config-if)# ip ospf authentication
R1(config-if)# ip ospf authentication key-chain klucenka
R2(config)# interface s0/0/0
R2(config-if)# ip ospf authentication
R2(config-if)# ip ospf authentication key-chain klucenka
Kontrola priradenia kľúčenky (kľúča) na rozhranie:
# show ip ospf interface g0/0/0
Ak príkazy vyššie nefungujú zadávate len (v tomto prípade sa žiaľ klúčenka nevyužíva):
R1(config)# interface s0/0/0
R1(config-if)# ip ospf authentication
R1(config-if)# ip ospf authentication klucenka
R2(config)# interface s0/0/0
R2(config-if)# ip ospf authentication
R2(config-if)# ip ospf authentication klucenka
Pozn.: OSPF susedstvo musí byť v tomto kroku plne funkčné, overte cez:
# show ip ospf neighbor
D. Konfigurácia administratívnych rolí (CLI views)
Funkcia prístupu k CLI na základe rolí umožňuje správcovi definovať zobrazenia, ktorých výsledkom je vznik sady dovolených príkazov a možností konfigurácie, ktoré poskytujú selektívny alebo čiastočný prístup k Cisco IOS. Zobrazenia obmedzujú prístup používateľov k Cisco IOS CLI a informáciám o konfigurácií.
Ak chce správca nakonfigurovať iné zobrazenie systému, systém musí byť v koreňovom (root) zobrazení. Keď systém je v zobrazení root, používateľ má rovnaké prístupové oprávnenia ako používateľ, ktorý má oprávnenia úrovne 15, ale užívateľ root view môže tiež nakonfigurovať nové zobrazenie a pridávať alebo odstraňovať príkazy zo zobrazenia.
Pred konfiguráciou CLI views je potrebné nakonfigurovať heslo do privilegovaného módu a aktivovať AAA.
- Nastavenie hesla do privilegovaného módu:
(config)# enable secret enableheslo
- Povolenie AAA:
(config)# aaa new-model
Pre konfiguráciu nových views a pridanie alebo odobranie príkazov, ktoré majú obsahovať, je potrebné aktivovať root view:
# enable view
Na zariadení nasadíme administratívne role pre dva typy zobrazení (views) a to helpdesk a bezpečnosť.
Helpdesk – Zobrazenie (view) pre helpdesk obsahuje všetky príkazy show a debug/undebug, ako aj príkazy na konfiguráciu rozhraní FastEthernet/GigabitEthernet (IP adresa, popis, shutdown).
Bezpečnosť – Zobrazenie (view) pre bezpečnosť obsahuje všetky príkazy show, ako aj príkazy na konfiguráciu všetkých rozhraní, lines a podpríkazy globálnej IP konfigurácie (rozhranie, line, IP).
- Vytvorenie helpdesk view na smerovači:
Pozn.: Heslo pre view musí byť definované ako prvé.
(config)# parser view helpdesk
(config-view)# secret helpdesk
(config-view)# commands exec include all show
(config-view)# commands exec include all debug
(config-view)# commands exec include all undebug
(config-view)# commands exec include configure terminal
(config-view)# commands configure include interface FastEthernet
(config-view)# commands configure include interface GigabitEthernet
(config-view)# commands interface include ip address
(config-view)# commands interface include no ip address
(config-view)# commands interface include shutdown
(config-view)# commands interface include no shutdown
(config-view)# commands interface include description
(config-view)# commands interface include no description
- Vytvorenie bezpecnost view na smerovači:
(config)# parser view security
(config-view)# secret security
(config-view)# commands exec include all show
(config-view)# commands exec include configure terminal
(config-view)# commands configure include all interface
(config-view)# commands configure include all line
(config-view)# commands configure include all ip
(config-view)# commands configure include all no
- Overenie funkčnosti vytvorených views.
Odhláste sa do konzoly sledom príkazov exit. Následne:
> enable view helpdesk
Preskúmajte dostupné príkazy.
- Odhláste sa do konzoly sledom príkazov exit. Následne:
> enable view security
Preskúmajte dostupné príkazy.
E. Obnova hesla na smerovači (len v Cisco PT!)
Zvoľte len jeden smerovač Cisco 4331. Často sa stáva, že študent ako Vy, nastaví heslo do privilegovaného módu či konzoly a konfiguráciu uloží. Vtedy je potrebné realizovať obnovu hesla na smerovači.
Prv vytvorme heslo na smerovači:
(config)# enable secret blablabladlhehesloktoresinezapamatameaesteprinomurobmechybu
Zmeňme aj názov zariadenia:
(config)# hostname R1
A nakonfigurujte rozhranie:
R1(config)# int gi0/0/0
R1(config-if)# ip address 192.168.1.1 255.255.255.0
Konfiguráciu uložíme:
R1# copy running-config startup-config
A následne dvakrát Enter.
Použite príkaz exit na to, aby ste sa dostali do konzoly. Heslo „nevieme“. Môžeme ísť na obnovu.
Ako prvé je potrebné vypnúť smerovač a následne ho zapnúť. Počas spúšťania smerovača kliknite na CLI okno a stlačte klávesy CTRL+BREAK alebo CTRL+C, tým prerušíte proces zavádzania smerovača (Pozn.: Máte na to 60 sekúnd). Všimnite si mód v akom sa nachádzate:
Rommon 1>
Zmeníme spôsob zavádzania systému, teda obídeme uloženú startup konfiguráciu v NVRAM:
Rommon 1> confreg 0x2142
Rommon 2> reset
Teraz skopírujte NVRAM do pamäte a zmeňte heslo:
Router# copy startup-config running-config
Router(config)# enable secret enableheslo
Definujte konfiguračný register späť na 0x2102 a uložte konfiguráciu:
R1(config)# config-register 0x2102
R1# copy running-config startup-config