Chyby v cvičení nahlasujte na ondrej.kainz@cnl.sk.
Pozn.: V závislosti na zariadení na ktorom pracujete môže byť LAN rozhranie buď gi0/0 alebo fa0/0, podobne se0/0/0 alebo se1/0/0. Dostupné rozhrania zistite cez show ip interface brief. Následne tomu prispôsobujete aj topológiu.
A. Konfigurácia zariadení
- Nakonfigurujte smerovače R1 a R2 podľa topológie vyššie. Konfigurácia pozostáva z nastavenia hostname, konfigurácie rozhraní s IPv4 adresou podľa topológie.
- Nastavte statickú IP adresy na PC.
B. Nakonfigurujte dynamický smerovací protokol OSPF:
- Použitím príkazu ip ospf 1 area 0 zaveďte priamo pripojené siete do smerovacieho protokolu na rozhraniach:
R1(config-if)# ip ospf 1 area 0
- Rozhrania smerujúce do LAN nastavte ako pasívne:
R1(config-router)# passive-interface fa0/0
R2(config-router)# passive-interface fa0/0 - Overenie vytvorenia OSPF susedstva:
# show ip ospf neighbor
- Overenie naučených nových smerov cez OSPF (príznak v smerovacej tabuľke O):
# show ip route
Overenie konektivity: Realizujte ping z PC A na PC B a naopak. Ak nefunguje pokúste sa realizovať ping na lokálnu bránu suseda.
C. Konfigurácia SNMP protokolu
SNMP (angl. Simple Network Management Protocol) je protokol umožňujúci monitorovanie a správu zariadení v IP sieti. Je to protokol aplikačnej vrstvy a bol navrhnutý pre účely správy siete.
Bezpečnosť SNMP protokolu zabezpečí vytvorenie ACL pre sieť alebo zariadenie, ktoré bude mať k SNMP prístup. Pozn. konfigurácia ACL pri SNMP nie je možná v Cisco PT, len na reálnych zariadeniach alebo v GNS3.
Konfigurácia ACL na oboch smerovačoch:
R1(config)# access-list 1 permit 147.232.49.0 0.0.0.127
R2(config)# access-list 1 permit 147.232.49.128 0.0.0.127
Pre funkčnosť SNMP definujeme komunitný reťazec, ktorý je v podstate heslom. Pre zjednodušenie použijeme heslo citaniesnmp pre čítanie (RO) a zapissnmp pre zápis (RW). Číslo na konci reprezentuje ACL:
(config)# snmp-server community citaniesnmp RO 1
(config)# snmp-server community zapissnmp RW 1
Pozn.: Nasledujúce nie je dostupné v Cisco PT. V prípade, že chceme posielať notifikácie o udalostiach, ktoré vzniknú na zariadení, tak je potrebné definovať cieľ, kde budú posielané v rámci komunitnej skupiny:
R1(config)# snmp-server host 147.232.49.1 zapissnmp
R2(config)# snmp-server host 147.232.49.129 zapissnmp
Nasledujúcim príkazom sa budú posielať všetky udalosti:
(config)# snmp-server enable traps
Pozn.: Posielať je možné aj špecifické udalosti, za príkazom vyššie použite otáznik.
Overenie SNMP
V Cisco PT:
Pre pripojenie použite MIB Browser v časti Desktop na PC. Vyberte Advanced… a zadajte ako IP adresu a reťazce. V stromovej štruktúre vyberte:
MIB Tree > router _std MIB > .iso > .org > .dod > .internet > .mgmt > .mib-2 > .system > .sysName
Z uvedeného by mal byť čitateľný názov smerovača. Pokúste sa zmeniť názov smerovača na R1/R2 na RLab1/Rlab2.
Na reálnych zariadeniach:
Otvorte aplikáciu SNMPB 🗔 (na ploche), kliknite na ikonu nastavení. Zmeňte komunitný reťazec pre čítanie a zápis. Vyberte verziu 2. Ako adresu agenta dajte adresu smerovača. V stromovej štruktúre vyberte:
MIB Tree > iso > org > dod > internet > mgmt > mib-2 > system > sysName
Z uvedeného by mal byť čitateľný názov smerovača. Pokúste sa zmeniť názov smerovača na R1/R2 na RLab1/Rlab2.
D. Konfigurácia NTP protokolu
NTP (angl. Network Time Protocol) je sieťový protokol na synchronizáciu hodín medzi počítačovými systémami cez dátové siete s prepínaním paketov s premenlivou latenciou. Tento protokol zaisťuje, aby všetky počítače v sieti mali rovnaký a presný čas. Bol obzvlášť navrhnutý tak, aby odolával následku premenlivého oneskorenia v doručovaní paketov.
Zobrazte aktuálny čas na smerovači:
# show clock
Na R2 nastavte aktuálny čas:
R2# clock set hh:mm:ss deň mesiac rok
Keďže R2 slúži ako NTP server je na ňom potrebné nastaviť aj stratum (napr. na hodnotu 9):
R2(config)# ntp master 9
Na smerovači R1 nastavte R2 ako zdroj času:
R1(config)# ntp server 147.232.50.134
Stav NTP je možné overiť príkazmi:
# show ntp status
# show ntp associations
Pozn.: Načítanie času zo servera trvá pár minút. Pokračujte ďalej.
E. Konfigurácia syslog
Syslog je štandardný protokol používaný na zaznamenávanie správ. Logovací proces riadi distribúciu logovacích správ do rôznych destinácií, ako je logging buffer, terminal lines alebo Syslog servery.
Na smerovači R2 nastavte, aby syslog správy mali časovú stopu:
R2(config)# service timestamps log datetime msec
Ako syslog server nastavte PC. Preskúmajte aj iné možnosti kam je možné syslog správy posielať:
R1(config)# logging 147.232.49.1
R2(config)# logging 147.232.49.129
Pri syslog je možné definovať závažnosť správ. Zoznam závažnosti správ, je definovaný nasledovne:
0 |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
Núdzové |
Upozornenie |
Kritické |
Chybové |
Varovné |
Notifikácie |
Info. |
Ladenie |
Nastavte posielanie notifikácií (level 5). Pozn. príkaz nie je dostupný v Cisco PT.
(config)# logging trap notifications
V Cisco PT je pre zaznamenávanie syslog správ potrebné pridať server a následne ísť do Services/Syslog. Na reálnych zariadeniach, teda na PC spustite nástroj s názvom TFTPD64 🗔. Následne vytvorte nejakú udalosť, napríklad vypnite a zapnite sériové rozhranie.
Sledujte rozdiel medzi správami prijatými na PC A a PC B.
F. AAA
Služby zabezpečenia siete AAA poskytujú primárny rámec na nastavenie riadenia prístupu na sieťovom zariadení. AAA je spôsob, ako kontrolovať, kto má povolený prístup k sieti (autentizovať) a čo môže robiť, kým tam je (autorizovať). AAA tiež umožňuje auditovanie akcií, ktoré používatelia vykonávajú pri prístupe do siete (účtovanie).
Sieťové zabezpečenie AAA tri funkčné komponenty:
- Autentifikácia – Používatelia musia pred prístupom k sieti a sieťovým zdrojom preukázať svoju identitu. Autentifikáciu je možné vytvoriť pomocou kombinácie používateľského mena a hesla, prípadne otázok s výzvou a odpoveďou alebo aj iných metód. Napríklad: „Som používateľ „študent“ a poznám heslo, aby som to dokázal.“
- Autorizácia – Po autentifikácii užívateľa autorizačné služby určia, ku ktorým zdrojom môže používateľ pristupovať a ktoré operácie môže užívateľ vykonávať. Príkladom je „Používateľ „študent“ môže pristupovať k hostiteľskému serveruXYZ iba pomocou SSH.
- Účtovanie – Účtovanie zaznamenáva, čo používateľ robil, vrátane toho, k čomu pristupoval, v akom čase a aké zmeny prípadne v systéme vykonal. Príkladom je „Používateľ „študent“ pristupoval na hostiteľský serverXYZ pomocou SSH počas 15 minút.“
AAA sa delí na:
- Lokálne AAA (angl. Local AAA) – používa lokálnu databázu na autentifikáciu. Táto metóda ukladá používateľské mená a heslá lokálne na smerovači a používatelia sa autentifikujú proti lokálnej databáze. Táto metóda je ideálna pre malé siete.
- Serverové overovanie AAA (angl. Server-based AAA) – pri tejto metóde smerovač pristupuje k centrálnemu serveru AAA. Server obsahuje užívateľské mená a heslá pre všetkých užívateľov. Smerovač používa na komunikáciu so serverom AAA protokoly RADIUS (Remote Authentication Dial-In User Service) alebo protokoly TACACS+ (Terminal Access Controller Access Control System). Ak existuje viacero smerovačov a prepínačov, serverové AAA je vhodnejšie, pretože účty možno spravovať z jedného miesta a nie na jednotlivých zariadeniach.
G. Konfigurácia lokálnej AAA do konzoly
Pozn.: Používané heslá sú pre edukačné účely zjednodušené.
Prv vytvoríme lokálneho používateľa admin007, a heslo admin007heslo:
(config)# username admin007 privilege 15 algorithm-type sha256 secret admin007heslo
V prípade práce na staršom IOS alebo v Cisco PT použite príkaz:
(config)# username admin007 privilege 15 secret admin007heslo
Následne aktivujeme AAA príkazom:
(config)# aaa new-model
Teraz nastavíme prístup do konzoly cez vyššie uvedené meno a heslo. Ako sekundárnu metódu prihlásenia zvolíme „none“:
(config)# aaa authentication login default local-case none
Metódu aplikujeme na prístup do konzoly:
(config-line)# login authentication default
Sériou príkazov exit sa dostaňte do konzoly a pokúste sa príhlásiť ako admin007. Prihlásenie bude úspešné. Opakujte postup a prihláste sa ako admin008, prihlásenie bude opäť úspešné, keďže sekundárne prihlásenie je nastavené ako „none“, teda bez autentifikácie používateľa. V produkčnom prostredí by bol na primárnu autentifikáciu použitý TACACS+ alebo RADIUS server a lokálna autentifikácia ako záložný mechanizmus prihlásenia v prípade nedostupnosti servera.
H. Konfigurácia lokálnej AAA pre SSH
Nakonfigurujte SSH (doménové meno securitylab.sk, dĺžka kľúča 1024).
(config)# aaa authentication login sshpristup local
(config)# line vty 0 4
(config-line)# login authentication sshpristup
Pokúste sa na SSH prihlásiť podobne ako pri konfigurácii AAA na konzolu. Je možné prihlásiť sa aj cez používateľa admin008? Ak nie, prečo? Aký je rozdiel medzi „local“ a „local-case“?
I. Konfigurácia vzdialenej AAA pre RADIUS server (nefunguje v Cisco PT)
Na PC spustite aplikaciu WinRadius 🗔. Vytvorte používateľa admin008 a heslom admin008heslo. Následne v časti Settings/System je potrebné zmeniť NAS secret na radiusheslo.
Príkazy, ktoré by bolo potrebné zadať, ale už sú zadané:
(config)# aaa new-model
(config)# username admin007 privilege 15 algorithm-type sha256 secret admin007heslo
Špecifikujeme kde sa RADIUS server nachádza (na PC) a zadáme heslo pre prístup na RADIUS server.
R1(config)# radius server radiusnapc
R1(config-radius-server)# address ipv4 147.232.49.1 auth-port 1812 acct-port 1813
R1(config-radius-server)# key radiushesloR2(config)# radius server radiusnapc
R2(config-radius-server)# address ipv4 147.232.49.129 auth-port 1812 acct-port 1813
R2(config-radius-server)# key radiusheslo
Následne nakonfigurujeme metódu pre autentifikáciu príkazom:
(config)# aaa authentication login default group radius local-case
Metódu aplikujeme na prístup do konzoly:
(config-line)# login authentication default
Konfiguráciu otestujeme – pokúste sa o prihlásenie cez používateľa admin008 a následne admin007.
Opakujte totožné aj pre SSH (predpokladá sa, že RSA kľúče už sú vygenerované).
(config)# line vty 0 4
(config-line)# login authentication default
Konfiguráciu otestujeme – pokúste sa o prihlásenie cez používateľa admin008 a následne admin007. PC odpojte zo siete, následne sa na smerovač pripája sused a vy sa pripájate na suseda cez SSH. Konfiguráciu otestujeme – pokúste sa o prihlásenie cez používateľa admin008 a následne admin007. Aká je zmena a prečo?