- •Лабораторная работа работа №3 разграничение прав доступа к оборудованию второго и третьего уровня cisco
- •Содержание
- •Цель работы
- •Порядок выполнения работы
- •4 Содержание отчета
- •Цель работы.
- •Контрольные вопросы
- •Приложение a теоретические сведения
- •1.Необходимо сконфигурировать имя хоста на коммутаторе или маршрутизаторе (sw1 и r1 соответственно).
- •4.Зашифровать пароль с помощью алгоритма «over-shoulder».
- •9. Настроем на коммутаторе ip адрес (192.168.1.253/24) на интерфейсе управления vlan 1.
- •10.Настроить на коммутаторе использование основного шлюза (адрес основного шлюза: 192.168.1.254/24) на случай необходимости удаленного администрирования из другой подсети.
- •11.Активируем интерфейс маршрутизатора FastEthernet1/0. Для примера будем использовать адрес 192.168.1.254/24.
- •12. Активируем интерфейс смотрящий в интернет Serial0/1 (представим, что это публичный интерфейс), используя ip адрес 172.31.1.1/30 для примера.
- •13. Активируем удаленный доступ на наше устройство через telnet, используя пароль «cisco_remote».
- •14. После долгих раздумий и анализа вы поймете, что лучше использовать ssh для удаленного администрирования. Проведем такую настройку.
- •15.Сохраним конфигурацию на коммутаторе или маршрутизаторе, для того, что бы настройки сохранились после перезагрузки устройств.
4 Содержание отчета
Цель работы.
Порядок выполнения работы.
Выводы по работе.
Контрольные вопросы
4.1 Для чего существует разграничение прав доступа к устройствам?
4.2 Какие режимы работы командного интерфейса вы знаете? Чем они характеризуются?
Приложение a теоретические сведения
Решение:
1.Необходимо сконфигурировать имя хоста на коммутаторе или маршрутизаторе (sw1 и r1 соответственно).
Большинство настроек на коммутаторах и маршрутизаторах идентичны. Поэтому, в данной статье я привожу конфигурацию только маршрутизаторов. Отличные от основных, настройки, используемые при конфигурировании коммутаторов, представлены в разделах 9 и 10.
Если вы видите в терминале символ «>», то необходимо перейти в привилегированный режим набрав «enable»:
Router>enable
Router#
Для того, что бы задать имя хоста на маршрутизаторе вы должны зайти в режим конфигурации:
Router#configure terminal
Router(config)#
Далее нужно набрать:
Router(config)#hostname R1
R1(config)#
2.Когда вы неправильно набираете команду в привилегированном режиме IOS пытается определить ip адрес того, что вы набрали. Отключим функцию определения имени.
R1(config)#no ip domain-lookup
3.Защитить привилегированный режим простым паролем. Используем «cisco_enable» в качестве пароля.
R1(config)#enable password cisco_enable
4.Зашифровать пароль с помощью алгоритма «over-shoulder».
R1(config)#service password-encryption
5.Защитить доступ к консольному порту 0. Используя «cisco_console» в качестве пароля.
Для начала необходимо перейти в режим конфигурации консоли «line console 0». Команда «login» говорит о необходимости ввода пароля при входе через консольный порт.
R1(config)#line console 0
R1(config-line)#password cisco_console
R1(config-line)#login
6.Настроим консольный порт 0 на разъединение, в случае если в течение 5 минут 30 секунд не производилось никаких действий.
Мы все еще в настройках консольного порта 0, следовательно, можно продолжить его конфигурирование.
R1(config-line)#exec-timeout 5 30
R1(config-line)#
Если вы хотите, что бы разъединения не происходило, то можно воспользоваться командой:
exec-timeout 0 0
7.Настроить консольный порт 0 так, что бы системные сообщения выводились на экран не перемешиваясь с тем, что вы печатаете.
По умолчанию все системные сообщения выводятся в консоль и они могут пересекаться с тем, что вы в данный момент печатаете. Если вы подключены к устройству через telnet/ssh вы не увидите каких-либо сообщений. Если вы хотите увидеть их через vty (удаленное соединение через telnet/ssh) вы должны ввести команду «terminal monitor» в привилегированном режиме.
Что бы выполнить задание в 7-м пункте нужно дать команду:
R1(config-line)logging synchronous
8.После детального изучения вы скорее всего поймете, что лучше использовать более безопасный доступ к привилегированному режиму. Деактивируем предыдущий метод и настроим тот же самый пароль с использование алгоритма шифрования паролей MD5.
Мы все еще в настройках консольного порта, поэтому для начала необходимо перейти в глобальный режим конфигурации, а затем удалим ранее заданный пароль. Далее мы зададим пароль используя метод шифрования MD5. Если же вы не удалите ранее созданный пароль, то система все равно будет использовать более безопасный.
R1(config-line)#exit
R1(config)#no enable password
R1(config)#enable secret cisco_enable