Міністерство освіти і науки України
Національний університет “Львівська політехніка”
Кафедра “Телекомунікації”
Лабораторний практикум
Методичні вказівки до лабораторних робіт №1-12
з курсу “ Технології телекомунікаційних мереж ”
для студентів спеціальності 8.092402 "Інформаційні мережі зв’язку"
Львів - 2013
Лабораторний практикум. Методичні вказівки до лабораторних робіт №1-12 з курсу “Технології телекомунікаційних мереж” для студентів спеціальності 8.092402 "Інформаційні мережі зв’язку" Львів, 2011.-136 стор.
Лабораторний практикум…
Укладачі: Кирик М.І., к.т.н., доцент.
Червенець В.В., ст. викладач
Плесканка Н.М., аспірант
Рецензенти: зав. каф. СКС, д.т.н., доц. Дунець Р.Б.,
доц. каф. ТК, к.т.н. Колодій Р.С.
Лабораторний практикум затверджено протоколу №_ засідання методичної ради ІТРЕ, Національного університету "Львівська політехніка" від __ ________ 2013 р., та зареєстровано під номерем № ____ від __.__.2013р.
ЗМІСТ
Лабораторна робота №1. Дослідження алгоритмів налаштування механізмів безпеки комутаторів Ethernet. 4
Лабораторна робота №2. Віртуальні мережі VLAN. 21
Лабораторна робота №4. Налаштування VLAN Trunking. 36
Лабораторна робота №5. Налаштування протоколу VTP. 44
Лабораторна робота №6. Протокол Spanning Tree. 57
Лабораторна робота №7. Налаштування маршрутизації між VLAN. 68
Лабораторна робота №8. Конфігурування протоколу RIP v.2 80
Лабораторна робота №9. Конфігурування протоколу EIGRP 89
Лабораторна робота №10. Конфігурування протоколу OSPF 98
Лабораторна робота №11. Конфігурування протоколу PPP та протоколів аутентифікації PAP і CHAP 108
Лабораторна робота №12. 120
Налаштування списків контролю доступу ACL. 120
Лабораторна робота №1. Дослідження алгоритмів налаштування механізмів безпеки комутаторів Ethernet.
Тема роботи: Дослідження алгоритмів налаштування механізмів безпеки комутаторів Ethernet.
Мета роботи: Дослідити принципи налаштування механізмів безпеки на комутаторах Cisco Catalyst.
Порядок виконання роботи
Виконання даної лабораторної роботи, складається з двох частин:
Підготовки на емуляторі Packet Tracer.
Робота на комутаторі Cisco Catalyst 2960.
План роботи
Ознайомитись з теоретичними відомостями.
Скласти макет згідно схеми в емуляторі Packet Tracer і провести конфігурацію комутатора.
Під’єднати до комутатора Cisco Сatalyst 2960 робочу станцію через консольний та Ethernet порти.
Перевірити початковий статус комутатора та провести конфігурування комутатора Cisco Catalyst 2960.
Задати в настройках конфігурації паролі для захисту доступу до комутатора.
Налаштування безпеки портів.
Відключення не використовуваних портів.
Виконати тестування конфігурації шляхом підключення невизначених вузлів до безпечних портів.
Закінчити роботу, підготувати звіт.
Теоретичні відомості
Комутатори Ethernet.
Комутатор – універсальний пристрій 2-го рівня, який використовується для з'єднання декількох вузлів. У більш складному варіанті комутатор підключається до одного чи декількох комутаторів для створення, контролю та обслуговування резервних каналів і з'єднань VLAN. Комутатор однаково обробляє всі типи трафіку, незалежно від їхнього призначення.
Комутатори можуть ділити локальну мережу LAN на сегменти (segments), які складаються з кількох робочих станцій. Таким чином з одного великого сегменту створюються вільні від колізій домени. Комутатори рівня 2 є апаратними. Вони пересилають трафік зі швидкістю, що відповідає швидкості передачі середовища, використовуючи внутрішні схеми, що фізично з'єднують кожен порт з усіма іншими портами.
Налаштування адресного простору комутатора
Комутатор мережі Ethernet може вивчати адреси всіх пристроїв мережі шляхом зчитування МАС-адрес джерел кожного отриманого фрейму даних і реєструючи порт, через який фрейм поступив на комутатор. Після цього комутатор додає цю інформацію в свою базу даних пересилки – таблицю комутації. Адреси реєструються в цій таблиці динамічно, тобто по мірі надходження. Це означає, що по мірі зчитування нових адрес джерела з фрейму вони аналізуються і зберігаються в САМ (Content-Addressable Memory) пам'яті комутатора для майбутнього використання, при умові їх відсутності в пам'яті САМ.
При кожному записі адреси в пам'ять реєструється поточний час. Це дозволяє зберігати адресу протягом заданого періоду часу. При кожному використанні певної адреси та виявленні її в пам'яті САМ (при аналізі нових адрес) встановлюється нова мітка часу. Якщо протягом певного часу на адресу не було посилань, то вона видаляється із списку. Шляхом видалення застарілих адрес, пам'ять САМ підтримує точну і повнофункціональну базу даних пересилки. Це особливо важливо коли в робочії станції замінюється карта мережевого інтерфейсу (мережевий адаптер).
Якщо станції А потрібно передати дані станції В, то надіслані нею дані проходять через комутатор, як показано на рис. 1.1. Слід пам'ятати, що при проходженні даних по мережі, комутатор функціонує на 2-му рівні, тобто, переглядає лише адресу управління доступом до середовища - МАС-адресу (Media Access Control - MAC). Як показано на рис. 1.2, по мірі проходження фреймів даних через комутатор здійснюється аналіз МАС-адрес джерел і, при необхідності, їх збереження в адресній таблиці.
Рис.1.1. Приклад проведення комутації в середовищі локальної мережі LAN.
При необхідності переслати фрейм, комутатор аналізує його МАС-адресу та аналізує свою пам'ять САМ з метою встановлення номера порта, з якого можна було б відправити фрейм за цією адресою. Якщо комутатор не знаходить в своїй таблиці пересилки позиції, що відповідає цій адресі, то він розсилає цей фрейм зі всіх своїх портів, за винятком того, на якому він був отриманий (така розсилка називається лавинною, flood), як показано на рис. 1.3. Якщо станція А посилає фрейм станції В, то комутатор розсилає його зі всіх своїх портів, оскільки пункт призначення невідомий. Проте, коли станція В відповідає станції А, комутатор переглядає МАС-адресу станції В як адресу джерела і створює для неї позицію в пам'яті САМ. Тепер комутатору відомо, куди під’єднана станція В.
Рис.1.2. Оновлення таблиці передачі.
Рис.1.3. Лавинна передача фреймів.
Тепер дані пересилаються через комутатор від станції А до станції В і при цьому лавинна розсилка не використовується. Комутатор посилає дані тільки з порта 3, оскільки йому відоме розташування станції А в мережі. Як показано на рис. 1.4, станція В посилає дані комутатору. На рис. 1.5 показано як комутатор передає дані від станції В до станції А. На основі інформації про попередню передачу даних, комутатору відомо звідки надіслана МАС-адреса, що дозволяє йому в подальшому ефективніше передавати дані по мережі.
Рис.1.4. Передача даних від станції В до комутатора.
Рис.1.5. Передача даних від станції В до станції А.
Тестування стандартної конфігурації комутатора Catalyst
При першому включенні живлення комутатора в його файлі поточної конфігурації (running configuration file) містяться стандартні налаштування. Комутатор має стандартне ім'я Switch. На консолі і лініях віртуального терміналу (virtual terminal - vty) паролі не встановлені. У прикладі 1.1 команда show run використовується для відображення стандартної конфігурації комутатора, що працює в середовищі операційної системи Cisco IOS, такого, наприклад, як комутатор серії Cisco 2960.
Приклад1.1.
Switch#show run Building configuration...
Current configuration : 925 bytes ! version 12.2 no service password-encryption ! hostname Switch ! ! ! interface FastEthernet0/1 ! interface FastEthernet0/2 ! interface FastEthernet0/3 ! interface FastEthernet0/4 ! interface FastEthernet0/5 ! interface FastEthernet0/6 |
Властивості портів комутатора
Для перегляду властивостей інтерфейсу (порта) комутатора використовується команда ІOS show interface. У ній необхідно вказати номер слота і порта комутатора (у форматі 0/1). За замовчуванням порти комутатора (інтерфейси) працюють в автоматичному режимі, як показано в прикладі 1.2. Це означає, що вони автоматично визначають режим роботи – дуплексний або напівдуплексний, а також швидкість порта – 10 Мбіт/с або 100 Мбіт/с.
Переваги використання стандартної конфігурації
У стандартній конфігурації комутатор має один широкомовний домен і може управлятися і налаштовуватися через консольний порт з використанням інтерфейсу командного рядка. При цьому забезпечується підвищений рівень безпеки, оскільки комутатору ще не була призначена IP-адреса.
Для невеликих мереж стандартна конфігурація може виявитися цілком достатньою. Користувач відразу може скористатися перевагами мікросегментації і високої продуктивності мережі, які забезпечуються комутатором.
Приклад.1.2.
Switch#show interface FastEthernet0/1 FastEthernet0/1 is down, line protocol is down (disabled) Hardware is Lance, address is 0060.2fe0.1201 (bia 0060.2fe0.1201) MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Half-duplex, 100Mb/s input flow-control is off, output flow-control is off ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:08, output 00:00:05, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue :0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 956 packets input, 193351 bytes, 0 no buffer Received 956 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 watchdog, 0 multicast, 0 pause input 0 input packets with dribble condition detected 2357 packets output, 263570 bytes, 0 underruns |
До базових налаштувань пристрою Cisco IOS відноситься призначення імені пристрою та паролів, які служать для контролю доступу до різних функцій пристрою.
Одним з перших завдань конфігурування є присвоєння комутатору унікального імені. Наступним кроком конфігурування є призначення паролів для запобігання несанкціонованого доступу до пристрою.
Для реалізації обмеження доступу до привілейованого режиму керування комутатором (режим EXEC) служать команди enable password та enable secret. Ці налаштування запобігають можливості змінювати параметри комутатора користувачам, які не мають відповідних прав доступу.
Зміна стандартних налаштувань комутатора
При необхідності, користувач може повністю змінити існуючу конфігурацію комутатора, як показано в прикладі. 1.3. Для цього на комутаторі слід виконати описані нижче дії.
Видалити існуючу VLAN-інформацію шляхом видалення файлу vlan.dаt бази даних VLAN з флеш-каталога.
Видалити резервний файл конфігурації startup-config. (У прикладі показано як зробити це для комутаторів Catalyst 2960 і 1900).
Перезавантажити комутатор.
Приклад 1.3.
Switch#delete vlan.dat Delete filename [vlan.dat]? Delete flash:/vlan.dat? [confirm] Switch#erase startup-config Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] [OK] Erase of nvram: complete Switch#reload Proceed with reload? [confirm] |
Налаштування комутатора
Стандартними кроками по налаштуванню комутатора є:
призначення комутатору імені
встановлення паролів;
призначення комутатору IP-адреси і шлюзу за замовчуванням;
установка характеристик портів.
Існує кілька способів підключитися до пристрою та налаштувати конфігурацію. Один з них – підключення комп'ютера до консольного порта комутатора за допомогою консольного кабеля. Цей тип підключення часто використовується для налаштування початкової конфігурації пристрою.
Якщо пристрій з'єднаний з мережею, то до нього можна отримати доступ через мережеве з'єднання. Такий варіант називається підключенням через віртуальний термінал або підключенням vty. Для віртуального порта комутатора (порта vty) потрібно призначити пароль.
Встановлення паролю для доступу до консолі та віртуального терміналу виконується в режимі глобальної конфігурації. Зазначені в прикладі 1.4 команди запобігають несанкціонованому доступу до користувацького режиму з порта консолі та віртуального порта.
Приклад 1.4.
ALSwitch(config-line)#hostname ALSwitch ALSwitch(config)#line console 0 ALSwitch(config-line)#password cisco ALSwitch(config-line)#login ALSwitch(config-line)#line vty 0 4 ALSwitch(config-line)#password cisco ALSwitch(config-line)#login |
Призначення комутатору IP-адреси і шлюзу за замовчуванням
Для того, щоб до комутатора можна було доступитися по мережі, йому необхідно призначити IP-адресу і задати стандартний шлюз (шлюз за замовчуванням). Ця адреса має бути призначена інтерфейсу віртуальної локальної мережі VLAN. У мережі VLAN кілька фізичних портів можуть бути об'єднані логічно. За замовчуванням існує тільки одна мережа VLAN, що заздалегідь налаштована в комутаторі - VLAN1, і вона забезпечує доступ до функцій керування. В прикладі 1.5 показано перелік команд, які дають змогу це зробити.
Приклад 1.5.
Switch(config)#interface vlan 1 Switch(config-if)#ip address 192.168.1.2 255.255.255.0 Switch(config-if)#exit Switch(config)#ip default-gateway 192.168.1.1 Switch(config)#end |
Налаштування параметрів порта комутатора
Порти FastEthernet комутатора за замовчуванням налаштовані на роботу в автоматичному режимі визначення швидкості передачі і на дуплексний режим передачі. Адміністратор може самостійно встановити необхідні швидкість передачі (10 Мбіт/с або 100 Мбіт/с) або відповідний дуплексний режим (дуплексний або напівдуплексний). Ці значення можуть бути встановлені з використанням команд, як показано в прикладі 1.6.
Приклад 1.6.
Switch(config)#interface fastEthernet 0/1 Switch(config-if)#duplex full Switch(config-if)#speed 100 Switch(config-if)# |
Безпека комутарів
Підтримувати безпеку мережі потрібно незалежно від методу комутації, що використовується. Засоби мережевої безпеки, як правило, реалізуються на маршрутизаторах шляхом блокування зовнішнього трафіку. Комутатори є пристроями, які працюють в середині організації та розроблені для реалізації простого доступу до мережі, тому до них застосовуються тільки найпростіші заходи безпеки.
Для забезпечення доступу лише для авторизованих користувачів варто використовувати наступні базові заходи безпеки комутатора:
захист фізичного доступу до пристрою;
використання безпечних паролів;
активація доступ через SSH;
відстежування трафіку;
відключення доступу через http;
відключення портів, що не використовуються;
захист портів.
Захист комутаторів починається з їх захисту від несанкціонованого доступу. Всі налаштування можна виконати з консолі. Щоб отримати доступ до консолі, необхідно мати локальний фізичний доступ до пристрою. Якщо не захистити консольний порт, зловмисник може змінити конфігурацію комутатора.
Забезпечення захисту консолі
Для забезпечення захисту консольного порта від несанкціонованого доступу необхідно встановити пароль на консольний порт, використовуючи рядок паролю <password> у режимі глобальної конфігурації. Щоб перейти до режиму конфігурування консольного порта необхідно ввести наступну команду line console 0. У терміналі побачите (config-line)#, що вказуватиме на перебування в режимі конфігурації.
В режимі конфігурації, можна встановити пароль для доступу до консолі, ввівши команду password your_password. Для того, щоб користувач ввівши пароль мав змогу зайти на комутатор, у цьому ж режимі, потрібно ввести команду login. Для виходу з режиму конфігурації використовується команда end.
Забезпечення захисту віддаленого доступу
Віртуальні порти vty на комутаторі Cisco дозволяють доступатися до управління комутатором віддалено. Всі налаштування комутатора можна здійснити за допомогою vty портів. В такому випадку зникає необхідність фізичного доступу до комутатора, саме тому дуже важливо забезпечити доступ до комутатора через vty. Будь-який користувач, який має доступ до комутатора через мережу може створити vty з’єднання через термінал. Якщо vty порти не є належним чином захищені, зловмисник може зайти на комутатор та змінити його конфігурацію.
Для забезпечення безпеки віддаленого з'єднання, необхідно встановити пароль, який потрібно буде ввести перед отриманням доступу до комутатора. Щоб задати пароль на vty порт необхідно в глобальному режимі конфігурування зайти в режим конфігурування vty лінії line vty 0 4. Після чого здійснити такі ж налаштування, як і для консольного порту.
Налаштування паролю на вхід у привілейований режим
Привілейований режим дозволяє будь-якому користувачеві налаштувати будь-який параметр, доступний на комутаторі, а також переглянути поточні налаштування на комутаторі, в тому числі, деякі незашифровані паролі. Тому, важливо забезпечити захищений доступу до привілейованого режиму. Команда глобального режиму конфігурування enable password your_password дозволяє задати пароль для обмеження доступу до привілейованого режим.
Однак, команда enable password your_password зберігає пароль у звичайному текстовому вигляді, який можна побачити в startup-config та running-config. Якщо хтось отримає доступ до цих конфігураційних файлів, або тимчасовий доступ до Telnet-сесії або консольної сесії, в якій перебуває залогований користувач, він зможе отримати пароль.
Щоб запобігти цьому, на обладнанні Cisco, переважно, використовується команда введення пароля на вхід у привілейований режим, яка забезпечує зберігання паролю у зашифрованому вигляді (enable secret your_password).
Налаштування зашифрованих паролів
При налаштуванні паролів в Cisco IOS CLI за замовчуванням всі паролі, за винятком секретного паролю, зберігаються у відкритому, текстовому вигляді та зберігаються в конфігураційних файлах: startup-config та running-config. Команда Cisco IOS service password-encryption дозволяє шифрувати всі паролі. Після використання команди service password-encryption в режимі глобальної конфігурації, всі системні паролі зберігаються в зашифрованому вигляді.
Port security
Порти комутатора можуть бути місцями несанкціонованого входу в мережу. Для запобігання цього комутатори підтримують функцію, що називається захистом портів (port security). Ця функція обмежує кількість допустимих МАС-адрес на один порт.
Port security – функція комутатора, що дозволяє вказати MAC-адреси хостів, яким дозволено передавати дані через порт. Після активації такого захисту порт передає тільки ті пакети, в яких MAC-адреса відправника є дозволеною. Можна вказувати не конкретні MAC-адреси, дозволені на порті комутатора, а обмежити кількість MAC-адрес, яким дозволено передавати трафік через порт.
Дана функція комутатора використовується для запобігання:
несанкціонованої зміни MAC-адреси мережевого пристрою або підключення до мережі несанкціонованих пристроїв;
атак, спрямованих на переповнення таблиці комутації.
Неефективність цього механізму захисту полягає у можливості легкої підміни MAC-адреси.