Top Banner
UIS 1 dr inż. Łukasz Sturgulewski, [email protected] , http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, [email protected] UIS (Utrzymanie Infrastruktury Sieciowej)
44

UIS - Urząd Miasta Łodzi

Apr 04, 2022

Download

Documents

dariahiddleston
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: UIS - Urząd Miasta Łodzi

UIS 1

dr inż. Łukasz Sturgulewski, [email protected], http://luk.kis.p.lodz.pl/

dr inż. Artur Sierszeń, [email protected]

UIS (Utrzymanie Infrastruktury Sieciowej)

Page 2: UIS - Urząd Miasta Łodzi

UIS 2

UIS

Wybrane urządzenia sieciowe:

Switch

Router

Firewall

Wybrana topologia:

DLACZEGO?

subinterfaces, trunk

OUTSIDE

212.191.89.128 / 25

172.18.0.0 / 16

outside

security-level 0

dmz

security-level 50

10.10.0.0 / 16

VLAN Dyrekcja

sec.lev.8510.20.0.0 / 16

VLAN Pracownicy

sec.lev.80

10.2.0.0 / 16

VLAN Admin

sec.lev.95

Page 3: UIS - Urząd Miasta Łodzi

Połączony model sieci

UIS 3

Page 4: UIS - Urząd Miasta Łodzi

ZiMSK - sieć laboratoryjna

Plan zajęć: Budowa sieci, „czyszczenie”

urządzeń

Podstawy konfiguracji (interfejsy)

Zarządzanie konfiguracjami

Routing dynamiczny i statyczny

Translacja adresów

VLAN, trunking, inter-VLAN routing

Zarządzanie konfiguracją urządzeń

(tryb tekstowy i graficzny)

Filtrowanie pakietów

Bezpieczeństwo portów

authentication-proxy

Konfiguracja 802.1x

Syslog

SNMP

DHCP

UIS 4

subinterfaces, trunk

OUTSIDE

212.191.89.128 / 25

172.18.0.0 / 16

79.96.21.160 / 28

outside

security-level 0

dmz

security-level 50

10.10.0.0 / 16

VLAN Dyrekcja

sec.lev.8510.20.0.0 / 16

VLAN Pracownicy

sec.lev.80

10.2.0.0 / 16

VLAN Admin

sec.lev.95

Page 5: UIS - Urząd Miasta Łodzi

UIS - sieć laboratoryjna

UIS 5

Plan zajęć: konsola uwierzytelnianie – serwer AAA

enable uwierzytelnianie – serwer AAA

poziomy uprzywilejowania

privilege levels

ssh - router, switch, ASA

dostęp do router, switch, ASA - ze świata zewnętrznego

A - było na WinRadius

A - będzie na ACS

A - będzie na ACS

Syslog + NTP

odzyskiwanie konfiguracji przy braku hasła (serwera AAA)

upgrade, downgrade IOS (router, switch, ASA)

recovery IOS (router, switch, ASA)

subinterfaces, trunk

OUTSIDE

212.191.89.128 / 25

172.18.0.0 / 16

outside

security-level 0

dmz

security-level 50

10.10.0.0 / 16

VLAN Dyrekcja

sec.lev.8510.20.0.0 / 16

VLAN Pracownicy

sec.lev.80

10.2.0.0 / 16

VLAN Admin

sec.lev.95

Page 6: UIS - Urząd Miasta Łodzi

UIS 6

Switch

Catalyst 8500 series

Catalyst 2950 series

IGX 8400 series

Catalyst 4000 series

Wydajność

Skalowalność

Obsługiwane

technologie

Uniwersalność

Page 7: UIS - Urząd Miasta Łodzi

Rodziny przełączników Cisco

UIS 7

Page 8: UIS - Urząd Miasta Łodzi

UIS 8

Urządzenie warstwy 3 – Router

Page 9: UIS - Urząd Miasta Łodzi

UIS 9

Urządzenie warstwy 3 – Router

Page 10: UIS - Urząd Miasta Łodzi

UIS 10

ASA

Page 11: UIS - Urząd Miasta Łodzi

UIS 11

ASA

Page 12: UIS - Urząd Miasta Łodzi

12 UIS

Page 13: UIS - Urząd Miasta Łodzi

UIS 13

ASA

Page 14: UIS - Urząd Miasta Łodzi

UIS 14

Symbole graficzne urządzeń

Page 15: UIS - Urząd Miasta Łodzi

UIS 15

Wspólne: Switch, Router, Firewall

Etapy uruchamiania urządzenia:

Page 16: UIS - Urząd Miasta Łodzi

Zmiany w topologii ZiMSK

Przyłączenie do świata zewnętrznego (poprzez sieć laboratoryjną).

Co jest potrzebne aby naszą sieć przyłączyć do świata zewnętrznego / sieci laboratoryjnej?

UIS 16

Page 17: UIS - Urząd Miasta Łodzi

NAT (SNAT) - Router

UIS 17

subinterfaces, trunk

OUTSIDE

212.191.89.128 / 25

172.18.0.0 / 16

outside

security-level 0

dmz

security-level 50

10.10.0.0 / 16

VLAN Dyrekcja

sec.lev.8510.20.0.0 / 16

VLAN Pracownicy

sec.lev.80

10.2.0.0 / 16

VLAN Admin

sec.lev.95

212.191.89.0/ 25

access-list 1 permit 212.191.89.128 0.0.0.127 ip nat pool IISpool 212.191.89.1 212.191.89.1 netmask 255.255.255.128 ip nat inside source list 1 pool IISpool overload

212.191.89.128/ 25

interface FastEthernet0/0 ip nat outside

interface FastEthernet0/1 ip nat inside

Page 18: UIS - Urząd Miasta Łodzi

Zmiany w topologii ZiMSK

Zewnętrzny serwer DHCP

Większe możliwości konfiguracji, wspólny dla wielu sieci.

UIS 18

Page 19: UIS - Urząd Miasta Łodzi

DHCP w sieci laboratoryjnej

UIS 19

OUTSIDE

10.0.0.0/8

192.168.1.0/24

176.16.0.0/16

200.200.200.0/24

outsidesecurity- level 0

dmz

security- level 50

insidesecurity- level 100

10.10.0.0/16

10.20.0.0/16

VLAN 10

VLAN 20

VLAN1

10.1.0.0/16

Serwery DHCP:

ASA / PIX

Router

Dedykowany serwer

Page 20: UIS - Urząd Miasta Łodzi

UIS 20

DHCP

DHCP – Dynamic Host Configuration Protocol:

RFC 2131.

Architektura klient – serwer.

Automatyczna konfiguracja węzłów sieci.

Minimalizacja nakładów przy konfiguracji sieci IP.

Wiele konfigurowalnych przez DHCP parametrów (oczywiście IP najważniejsze).

Protokół warstwy 7 (aplikacji).

W warstwie 4 (transportowej) korzysta z UDP.

Klient wysyła komunikaty do serwera na port 67.

Serwer wysyła komunikaty do klienta na port 68.

Page 21: UIS - Urząd Miasta Łodzi

UIS 21

DHCP

Klient DHCP (dynamiczna konfiguracja węzła): Windows,

Novell Netware,

Sun Solaris,

Linux,

MAC OS.

Uwaga: Urządzenia sieciowe takie jak routery, przełączniki czy serwery powinny mieć przydzielone statyczne adresy IP.

Page 22: UIS - Urząd Miasta Łodzi

UIS 22

DHCP – przydzielanie adresów

Page 23: UIS - Urząd Miasta Łodzi

UIS 23

DHCP – zasada działania

Page 24: UIS - Urząd Miasta Łodzi

UIS 24

DHCP – zasada działania

Page 25: UIS - Urząd Miasta Łodzi

UIS 25

Format komunikatu DHCP

0 1 2 3 4 5 6 7 8 9 1

0

1

1

1

2

1

3

1

4

1

5

1

6

1

7

1

8

1

9

2

0

2

1

2

2

2

3

2

4

2

5

2

6

2

7

2

8

2

9

3

9

3

1

OPERACJA TYP SPRZĘTU DŁ. ADRESU SPRZ. ETAPY

IDENTYFIKATOR TRANSAKCJI

SEKUNDY ZNACZNIKI

ADRES IP KLIENTA

TWÓJ ADRES IP

ADRES IP SERWERA

ADRES IP ROUTERA

ADRES SPRZĘTOWY KLIENTA (16 oktetów)

...

NAZWA WĘZŁA SERWERA (64 oktety)

...

NAZWA PLIKU STARTOWEGO (128 oktetów)

...

OPCJE (zmienna długość)

...

Page 26: UIS - Urząd Miasta Łodzi

UIS 26

Format komunikatu DHCP

Opis pól:

OPERACJA: Określa czy komunikat jest prośbą startową – 1 czy odpowiedzią startową – 2;

TYP SPRZĘTU: Typ sprzętu sieciowego (Ethernet – 1);

DŁUGOŚĆ ADRESU SPRZĘTOWEGO: Długość adresu sprzętowego (Ethernet – 6);

ETAPY: Klient wpisuje zero. Każde przekazanie tej prośby do innego serwera powoduje zwiększenie licznika o jeden.

IDENTYFIKATOR TRANSAKCJI: Liczba całkowita służąca do związania odpowiedzi z pytaniem;

SEKUNDY: Liczba sekund od startu klienta;

Od ADRES IP KLIENTA do NAZWA PLIKU STARTOWEGO: Pola, których wartości klient nie jest w stanie podać wypełnia zerami. Serwer wypełnia pola informacjami przeznaczonymi dla klienta (jeśli ADRES IP KLIENTA = 0 wtedy serwer wypełnia pole TWÓJ ADRES IP);

Page 27: UIS - Urząd Miasta Łodzi

UIS 27

Format komunikatu DHCP - Opcje

Aby określić, który z komunikatów DHCP jest wysyłany należy następująco ustalić opcje:

KOD = 53;

DŁUGOŚĆ = 1;

WARTOŚĆ = 1 – 7; 1 – DHCPDISCOVER

2 – DHCPOFFER

3 – DHCPREQUEST

4 – DHCPDECLINE

5 – DHCPACK

6 – DHCPNACK

7 – DHCPRELEASE

KOD DŁUGOŚĆ WARTOŚĆ

Page 28: UIS - Urząd Miasta Łodzi

DHCP Relay (przekazanie DHCP)

Standardowo serwer DHCP umieszczony jest w tej samej sieci co jego klienci. Jednak w złożonych środowiskach sieciowych gdzie wydzielonych jest wiele podsieci oznaczałoby to konieczność instalowania wielu serwerów DHCP. Rozwiązaniem tego problemu jest umieszczenie jednego serwera DHCP obsługującego wiele sieci (podsieci). W takiej koncepcji pojawia się jednak kolejny problem: zapytania DHCP (DHCPDISCOVER) wysyłane są przez klienta rozgłoszeniowo (broadcast), gdyż nie zna on konfiguracji sieci w momencie przyłączania do niej, a ruch rozgłoszeniowy jest standardowo filtrowany przez urządzenia L3 łączące sieci (podsieci) ze sobą.

W związku z tym wprowadzono usługę pozwalającą na przesyłanie ruchu protokołu DHCP pomiędzy sieciami (podsieciami). Nazywa się ona DHCP Relay.

UIS 28

Page 29: UIS - Urząd Miasta Łodzi

DHCP Relay (przekazanie DHCP)

UIS 29

Page 30: UIS - Urząd Miasta Łodzi

DHCP Serwer

UIS 30

Pokazać na podstawie jakiej informacji w pakiecie DHCPDISCOVER serwer

DHCP decyduje o użytej puli adresowej (np. za pomocą Wireshark).

Page 31: UIS - Urząd Miasta Łodzi

Konfiguracja DHCP Relay

UIS 31

•Podać adres IP serwera DHCP oraz nazwę sieci, w której się znajduje:

ASA(config)# dhcprelay server adres_IP sieć

•Włączyć usługę DHCP Relay dla wybranej sieci (na wybranym interfejsie): ASA(config)# dhcprelay enable sieć

•Zmienić domyślny adres IP w odpowiedzi serwera DHCP (DHCP reply) na adres IP wybranego interfejsu:

ASA(config)# dhcprelay setroute sieć

•Wprowadzić maksymalny czas odpowiedzi:

ASA(config)# dhcprelay timeout czas

Page 32: UIS - Urząd Miasta Łodzi

Weryfikacja DHCP Relay

UIS 32

•Sprawdzić wymianę pakietów pomiędzy klientem DHCP, ASA a serwerem DHCP:

ASA# debug dhcprelay packet

ASA# debug dhcprelay event

Page 33: UIS - Urząd Miasta Łodzi

IOS

Zarządzanie systemami operacyjnymi:

Switch

Router

ASA

IOS upgrade / downgrade

IOS recovery

UIS 33

Page 34: UIS - Urząd Miasta Łodzi

UIS 34

Usuwanie hasła

Procedura usuwania hasła (konfiguracji): Sprawdź, czy komputer jest podłączony do portu konsoli i czy

jest otwarte okno programu HyperTerminal.

Sprawdź czy zostały założone hasła:

naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty: Switch>

wpisz polecenie enable, czy pojawił się znak zachęty Switch#

Jeśli choć jeden z trybów nie jest dostępny należy usunąć hasło.

Wyłącz przełącznik. Włącz go ponownie, przytrzymując wciśnięty klawisz MODE, który znajduje się z przodu przełącznika. Zwolnij klawisz MODE, gdy zgaśnie dioda LED oznaczona etykietą STAT.

Page 35: UIS - Urząd Miasta Łodzi

UIS 35

Usuwanie hasła

Procedura usuwania hasła (konfiguracji): Aby zainicjować system plików należy użyć następujących poleceń:

flash_init

load_helper

Wpisz polecenie dir flash: aby sprawdzić zawartość pamięci flash przełącznika. Plik o rozszerzeniu .bin to system operacyjny np. c2900xl-c3h2s-mz.120-5.WC7.bin. Plik o nazwie config.text to plik z konfiguracją urządzenia (także hasłami).

Zmień nazwę pliku konfiguracyjnego wpisując polecenie: rename flash:config.text flash:config.old

Wpisz polecenie boot, aby rozpocząć ładowanie systemu operacyjnego.

Aby pominąć tryb setup należy nacisnąć Crtl+C.

Sprawdź czy hasła zostały usunięte: naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Switch>

wpisz polecenie enable, czy pojawił się znak zachęty Switch#

Jeśli mamy prompt Switch# oznacza to iż hasła zostały usunięte.

Page 36: UIS - Urząd Miasta Łodzi

UIS 36

Usuwanie konfiguracji

Kasowanie konfiguracji: (2960, 2950, 2900) Switch> enable Switch# erase startup-config Switch# delete flash:vlan.dat

Page 37: UIS - Urząd Miasta Łodzi

UIS 37

Usuwanie hasła

(2600, 2800)

Sprawdź, czy komputer jest podłączony do portu konsoli i czy jest otwarte okno programu HyperTerminal.

Sprawdź czy zostały założone hasła:

naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Router>

wpisz polecenie enable, czy pojawił się znak zachęty Router#

Jeśli choć jeden z trybów nie jest dostępny należy usunąć hasło.

Wyłącz router. Włącz go ponownie.

Naciśnij kombinacje Crtl+Break aby przejść do trybu ROMMON.

Wpisz polecenie, które umożliwi pominięcie ładowania pliku konfiguracyjnego przy starcie systemu confreg 0x2142.

Page 38: UIS - Urząd Miasta Łodzi

UIS 38

Usuwanie hasła

(2600, 2800)

Uruchom ponownie router, miękki restart, polecenie reset.

Router uruchomi się ale pominie plik konfiguracyjny.

Aby pominąć tryb setup należy nacisnąć Crtl+C.

Sprawdź czy hasła zostały usunięte:

naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Router>

wpisz polecenie enable, czy pojawił się znak zachęty Router#

Jeśli mamy prompt Router# oznacza to iż hasła zostały usunięte.

Przejdź do trybu config wprowadzając polecenie configure terminal.

Wprowadź polecenie config-register 0x2102 aby przywrócić wczytywanie pliku konfiguracyjnego przy starcie systemu.

Page 39: UIS - Urząd Miasta Łodzi

UIS 39

Usuwanie konfiguracji

Kasowanie konfiguracji:

(2600, 2800)

Router> enable

Router# erase startup-config

Router# reload

System configuration has been modified. Save?

[yes/no]: n

Aby pominąć tryb setup należy nacisnąć Crtl+C.

Page 40: UIS - Urząd Miasta Łodzi

UIS 40

Usuwanie hasła

(PIX 515E)

Sprawdź, czy komputer jest podłączony do portu konsoli i czy jest otwarte okno programu HyperTerminal.

Sprawdź czy zostały założone hasła:

naciśnij enter po uruchomieniu urządzenia, czy pojawił się znak zachęty Router>

wpisz polecenie enable, (przy pytaniu o hasło enter) czy pojawił się znak zachęty Router#

Jeśli choć jeden z trybów nie jest dostępny należy usunąć hasło.

Wyłącz pix. Włącz go ponownie.

Naciśnij kombinacje Crtl+Break aby przejść do trybu monitor.

Page 41: UIS - Urząd Miasta Łodzi

UIS 41

Usuwanie hasła

(PIX 515E)

Skonfiguruj urządzenie tak aby można było pobrać z serwera TFTP plik

usuwający hasła:

Połącz host z serwerem TFTP z jeden z interfejsów Ethernet pix’a

Jeśli jest to interfejs 0 wpisz: interface 0

Nadaj adres IP temu interfejsowi: address 10.0.0.1

Podaj adres serwera TFTP (pamiętaj, że jego karta sieciowa musi być tak

skonfigurowana): server 10.0.0.2

Podaj nazwę pliku do odzyskiwania hasła (wersja pliku zależy od wersji

systemu): file np70.bin

Podaj adres bramy domyślnej: gateway 10.0.0.2

Sprawdź komunikację z serwerem: ping 10.0.0.2

Aby rozpocząć pobieranie pliku wydaj polecenie: tftp

Postępuj zgodnie z informacjami wyświetlanymi na konsoli, procedura

została zakończona.

Page 42: UIS - Urząd Miasta Łodzi

UIS 42

Usuwanie hasła

(ASA 5510)

Power off the security appliance, and then power it on.

During the startup messages, press the Escape key when prompted to enter ROMMON.

To set the security appliance to ignore the startup configuration at reload, enter command:

rommon #1> confreg 0x40

Reload the security appliance by entering the following command:

rommon #2> boot

The security appliance loads a default configuration instead of the startup configuration.

Enter privileged EXEC mode by entering the following command:

hostname> enable

When prompted for the password, press Return.

The password is blank.

Erase startup-config

hostname# write erase

Enter global configuration mode by entering the following command:

hostname# configure terminal

Change the configuration register to load the startup configuration at the next reload by entering the following command:

hostname(config)# config-register 0x1

Page 43: UIS - Urząd Miasta Łodzi

UIS 43

Usuwanie konfiguracji

Kasowanie konfiguracji:

(515E, 5510)

pix> enable

pix# configure terminal

pix(config)# write erase

- usunięcie zapisanej konfiguracji (startup-config)

pix(config)# clear configure all

- usunięcie bieżącej konfiguracji (running-config)

Page 44: UIS - Urząd Miasta Łodzi

UIS 44

KONIEC

UIS (Utrzymanie Infrastruktury Sieciowej)