- •Лабораторная работа работа №3 разграничение прав доступа к оборудованию второго и третьего уровня cisco
- •Содержание
- •Цель работы
- •Порядок выполнения работы
- •4 Содержание отчета
- •Цель работы.
- •Контрольные вопросы
- •Приложение a теоретические сведения
- •1.Необходимо сконфигурировать имя хоста на коммутаторе или маршрутизаторе (sw1 и r1 соответственно).
- •4.Зашифровать пароль с помощью алгоритма «over-shoulder».
- •9. Настроем на коммутаторе ip адрес (192.168.1.253/24) на интерфейсе управления vlan 1.
- •10.Настроить на коммутаторе использование основного шлюза (адрес основного шлюза: 192.168.1.254/24) на случай необходимости удаленного администрирования из другой подсети.
- •11.Активируем интерфейс маршрутизатора FastEthernet1/0. Для примера будем использовать адрес 192.168.1.254/24.
- •12. Активируем интерфейс смотрящий в интернет Serial0/1 (представим, что это публичный интерфейс), используя ip адрес 172.31.1.1/30 для примера.
- •13. Активируем удаленный доступ на наше устройство через telnet, используя пароль «cisco_remote».
- •14. После долгих раздумий и анализа вы поймете, что лучше использовать ssh для удаленного администрирования. Проведем такую настройку.
- •15.Сохраним конфигурацию на коммутаторе или маршрутизаторе, для того, что бы настройки сохранились после перезагрузки устройств.
9. Настроем на коммутаторе ip адрес (192.168.1.253/24) на интерфейсе управления vlan 1.
Я упоминал, что вы можете выполнить шаги 1-8 как на маршрутизаторах так и на коммутаторах и команды будут идентичны. Сейчас мы будет задавать ip адрес на интерфейсе Vlan 1 для коммутатора:
SW1>enable
SW1#conf t
SW1(config)#interface vlan 1
SW1(config-if)ip address 192.168.1.253 255.255.255.0
SW1(config-if)#no shutdown
10.Настроить на коммутаторе использование основного шлюза (адрес основного шлюза: 192.168.1.254/24) на случай необходимости удаленного администрирования из другой подсети.
Что бы выполнить задачу необходимо вернуться в глобальный режим конфигурации из режима конфигурации интерфейса Vlan1
SW1(config-if)#exit
SW1(config)#ip default-gateway 192.168.1.254
11.Активируем интерфейс маршрутизатора FastEthernet1/0. Для примера будем использовать адрес 192.168.1.254/24.
R1(config)interface f1/0
R1(config-if)ip address 192.168.1.254 255.255.255.0
R1(config-if)#no shutdown
12. Активируем интерфейс смотрящий в интернет Serial0/1 (представим, что это публичный интерфейс), используя ip адрес 172.31.1.1/30 для примера.
Несмотря на то, что в данный момент мы находимся в режиме конфигурации интерфейса F1/0 мы можем перейти в режим настройки s0/1 сразу, не набирая предварительно команду «exit». Если вы используете реальный маршрутизатор (не виртуальный через dynamips), с одной стороны соединение должно использовать DCE кабель, а с другой DTE кабель. Они подключены встречно-параллельно и DCE интерфейс должен быть с заданным параметром clock rate.
R1(config-if)#interface s0/1
R1(config-if)#ip address 172.31.1.1 255.255.255.252
R1(config-if)#no shutdown
13. Активируем удаленный доступ на наше устройство через telnet, используя пароль «cisco_remote».
Удаленный доступ обслуживается специальными виртуальными линиями под названием vty. В данном случае мы будем использовать vty линии от 0 до 4, позволяющих нам подключиться телнетом одновременно до пяти раз.
R1(config-if)#line vty 0 4
R1(config-if)#password cisco_remote
R1(config-if)#login
14. После долгих раздумий и анализа вы поймете, что лучше использовать ssh для удаленного администрирования. Проведем такую настройку.
Пожалуй, это самая сложная часть в нашей лабораторной работе. Ниже представлены 4 этапа выполнения задачи.
a)Настроить системное доменное имя. Без доменного имени IOS не может сгенерировать rsa ключи, использующиеся для шифрования и дешифрования. Доменное имя может быть любым, каким вы заходите (в нашем случае доменным именем будет networkdoc.local). Хорошей идеей будет использовать реальное имя вашей организации.
R1(config-line)#exit
R1(config)ip domain-name networcdoc.local
R1(config)#
b) Когда вы наберете команду, представленную ниже система спросит вас какую длину ключа использовать. Выберите значение 1024. IOS будет генерировать ключи несколько секунд, после чего автоматически запустит SSH сервер, подождите пока процесс будет выполнен.
R1(config)crypto key generate rsa
R1(config)#
с) Создайте аккаунт, который будет использоваться для ssh доступа (в нашем случае: user=admin, password=cisco_remote)
R1(config)username admin password cisco_remote
R1(config)#
d) Активируйте ssh протокол и дизактивируйте telnet на vty линиях 0-4. Убедитесь, что ssh будет использовать созданный локально аккаунт (admin) для ssh соединений. Это можно выполнить командой «login local».
R1(config)#line vty 0 4
R1(config-line)#transport input ssh
R1(config-line)#login local
R1(config-line)#end
R1#