Файловый архив студентов. Файловый архив студентов.
1314 вуза, 5330 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
хачю сдать сессию Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский технический университет связи и информатики
Предмет:
Технологии коммутации в инфокоммуникационных сетях
Файл:

Отчет_лаб8

.docx
Скачиваний:
0
Добавлен:
28.01.2026
Размер:
116.3 Кб
Скачать

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

Ордена Трудового Красного Знамени федеральное

государственное бюджетное образовательное

учреждение высшего образования

«Московский технический университет

связи и информатики»

────────────────────────────────────

Факультет «Сети и Системы Связи»

Кафедра «Сети связи и системы коммутации»

Дисциплина «Технологии коммутации в инфокоммуникационных сетях» Лабораторная работа №8 «Изучение принципов работы AAA-сервера

с использованием Cisco Packet Tracer»

Выполнили:

Проверил:

Москва 2025

Цель работы

Изучить и практически освоить процесс настройки основных способов доступа к сетевому оборудованию с использованием сетевого симулятора Cisco Packet Tracer. Научиться настраивать утилиту Telnet для удаленного доступ к маршрутизатору, создавать пользователя как в локальной базе данных сетевого устройства, так и на выделенном сервере с использованием технологии AAA и протокола RADIUS, а также проверять возможность доступа к оборудованию при отсутствии связи AAA-сервером.

Задание

  1. Запустить Cisco Packet Tracer.

  2. Собрать необходимую топологию сети, запустить и настроить виртуальное оборудование.

  3. Согласно пунктам выполнения лабораторной работы, сделать необходимые снимки экрана. Изучить полученную информацию и оформить ее в соответствии с требованиями раздела 5 (Содержание отчета).

Выполнение работы

  1. Правильность введенных настроек PC0 PC1 Server0

  1. Проверка правильности настроек по первому методу

  1. Проверка Telnet подключения с PC0

  1. Проверка AAA пользователя

  1. Проверка базы данных пользователей

  1. Доступ к оборудовании при отсутствии соединения с сервером пользователя admin

Вывод

При выполнении данной лабораторной работы был изучен и практически освоен процесс настройки основных способов доступа к сетевому оборудованию с использованием сетевого симулятора Cisco. Мы научились настраивать утилиту Telnet, создавать пользователя как в локальной базе, так и на выделенном сервере. А также проверять возможность доступа к оборудованию при отсутствии связи AAA-сервером.

Контрольные вопросы

  1. Что такое удаленный доступ к сетевому оборудованию? Зачем он нужен и какие функции выполняет?

Удаленный доступ к сетевому оборудованию — это возможность управления коммутаторами, маршрутизаторами и другим сетевым оборудованием не через физический консольный порт, а по сети с использованием таких протоколов, как Telnet или SSH.

Он нужен для:

Удобства администрирования: Позволяет управлять оборудованием из любой точки сети без необходимости физического присутствия рядом с устройством.

Оперативности реагирования: Проблемы в сети часто можно решить удаленно, что значительно сокращает время простоя.

Централизованного управления: Администратор может управлять множеством устройств из одного места.

Основные функции: предоставление доступа к командной строке устройства (CLI) для его настройки, мониторинга состояния и устранения неисправностей.

  1. Какие варианты задания пароля бывают? В чем их различие? Какой способ следует использовать?

  • enable password: Пароль хранится в конфигурации в незашифрованном виде (plain text). Небезопасен.

  • enable password + service password-encryption: Пароль шифруется с помощью слабого reversible-шифрования (Type 7). Легко поддается дешифрации. Не рекомендуется.

  • enable secret: Пароль хэшируется с использованием стойкого алгоритма (MD5). Хэш невозможно обратить (Type 5). Этот способ следует использовать, так как он обеспечивает наибольшую безопасность.

  1. В чем различие между созданием пользователя на сетевом устройстве и на AAA-сервере? Можно ли иметь только базу пользователей на AAA-сервере?

enable password: Пароль хранится в конфигурации в незашифрованном виде (plain text). Небезопасен.

enable password + service password-encryption: Пароль шифруется с помощью слабого reversible-шифрования (Type 7). Легко поддается дешифрации. Не рекомендуется.

enable secret: Пароль хэшируется с использованием стойкого алгоритма (MD5). Хэш невозможно обратить (Type 5). Этот способ следует использовать, так как он обеспечивает наибольшую безопасность.

  1. Под каким пользователем необходимо заходить на сетевое устройство, Если AAA-сервер недоступен, необходимо заходить под пользователем, созданным в локальной базе данных сетевого устройства. Именно для этого в работе создавался пользователь admin с паролем cisco на маршрутизаторе.

  1. Объясните принцип работы технологии AAA и протокола RADIUS исходя из полученных результатов.

Authentication (Аутентификация): Пользователь пытается подключиться к устройству (например, по Telnet). Устройство запрашивает логин и пароль. Введенные данные проверяются на соответствие учетной записи (локально или на сервере).

Authorization (Авторизация): После успешной аутентификации определяется, какие права и команды доступны пользователю (например, уровень привилегий 15).

Accounting (Учет): Фиксируются все действия пользователя (время входа/выхода, выполненные команды) для последующего аудита.

Принцип работы RADIUS в контексте AAA:

1. Пользователь вводит логин/пароль на устройстве (AAA-клиенте).

2. Устройство пересылает эти данные на RADIUS-сервер.

3. RADIUS-сервер проверяет учетные данные в своей базе.

4. Если данные верны, сервер возвращает устройству ответ "ACCESS-ACCEPT" вместе с информацией об уровне привилегий пользователя.

5. Устройство предоставляет пользователю доступ в соответствии с полученными правами.

Из результатов работы: Мы видели, что при доступном сервере аутентификация проходила по пользователям `student` и `test` с сервера, а при его недоступности — по локальному пользователю `admin`.

  1. Зачем нужна утилита Telnet? В чем ее недостатки?

Назначение Telnet: Это протокол для удаленного управления сетевыми устройствами через командную строку.

Недостатки:

Отсутствие шифрования: Весь трафик (включая логины и пароли) передается в открытом виде.

Уязвимость к перехвату: Злоумышленник, находящийся в сети между клиентом и сервером, может легко перехватить учетные данные.

Рекомендуемая альтернатива: Использование протокола SSH (Secure Shell), который шифрует весь сеанс связи.

  1. В чем отличие привилегированного режима от пользовательского?

Пользовательский режим (User EXEC Mode, >):

Приглашение: Switch>

Доступен ограниченный набор команд, в основном для просмотра базовой информации.

Нельзя вносить изменения в конфигурацию устройства.

Привилегированный режим (Privileged EXEC Mode, #):

Приглашение: Switch#

Доступны все команды для мониторинга, диагностики и управления устройством.

Для перехода в этот режим из пользовательского используется команда enable.

Из этого режима можно войти в режим глобальной конфигурации (configure terminal).

  1. Какая команда лучше всего шифрует пароль?

Лучше всего пароль шифрует команда enable secret. Она использует необратимое хэширование по алгоритму MD5 (в современных версиях IOS используются более стойкие алгоритмы), в отличие от reversible-шифрования команды service password-encryption.

  1. Какие уровни привилегий для работы с оборудованием Вы знаете?

По умолчанию в Cisco IOS существуют три основных уровня привилегий:

Уровень 0 (privilege 0): Самый низкий уровень. Доступны только команды logout, disable, enable, exit, help.

Уровень 1 (privilege 1): Соответствует пользовательскому режиму (User EXEC Mode). Режим по умолчанию для доступа.

Уровень 15 (privilege 15): Соответствует привилегированному режиму (Privileged EXEC Mode). Предоставляет полный доступ к устройству.

Уровни 2-14 не используются по умолчанию, но могут быть настроены администратором для создания пользовательских ролей с ограниченным набором команд.

  1. Опишите преимущества и недостатки рассмотренных вариантов доступа к оборудованию.

  1. Пароль на линии (VTY/CONSOLE):

  • Недостатки: Один пароль для всех, нет разграничения прав, низкая безопасность.

  • Преимущества: Простота настройки.

  1. Локальная база пользователей (login local):

  • Преимущества: Возможность создания отдельных учетных записей с разными уровнями привилегий. Безопаснее, чем общий пароль.

  • Недостатки: Сложность управления в больших сетях (нужно добавлять пользователей на каждое устройство).

  1. Локальная база через AAA (aaa new-model + aaa authentication login default local):

  • Преимущества: Более гибкая и современная модель. Позволяет легко перейти к использованию внешних AAA-серверов.

  • Недостатки: Те же, что и у локальной базы — сложность администрирования в распределенных сетях.

  1. Централизованная аутентификация через AAA-сервер (RADIUS/TACACS+):

  • Преимущества:

  • Централизованное управление: Учетные записи хранятся в одном месте.

  • Масштабируемость: Легко управлять большим количеством устройств и пользователей.

  • Безопасность: Пароли не хранятся на сетевых устройствах.

  • Детальный учет (Accounting): Возможность логирования всех действий пользователей.

  • Гибкая авторизация (особенно в TACACS+): Контроль на уровне отдельных команд.

  • Недостатки:

  • Сложность настройки: Требует настройки как сервера, так и клиентов.

  • Единая точка отказа: При недоступности сервера возможна блокировка доступа (риск mitigated резервной локальной записью).

  • Необходимость в дополнительном сервере.

Соседние файлы в предмете Технологии коммутации в инфокоммуникационных сетях
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности