Actividad PT: Configurar routers Cisco para Syslog, NTP, y SSH

Operaciones

Diagrama de topologa

Tabla de Direccionamiento
Device Interface IP Address Subnet Mask Default Gateway Switch Port

Objetivos de aprendizaje Configurar routers como clientes NTP.

Configurar routers para actualizar el hardware del reloj mediante NTP. Configurar routers para registrar los mensajes en el servidor syslog. Configurar routers de mensajes de registro de marca de tiempo. Configuracin de usuarios locales. Configurar lneas VTY para aceptar slo conexiones SSH. Configurar par de claves RSA en el servidor SSH. Verificar la conectividad SSH desde el cliente PC y el cliente router.

Introduccin La topologa de la red muestra tres routers. Deber configurar NTP y Syslog en todos los routers. Deber configurar SSH en R3. Network Time Protocol (NTP) permite que los routers de la red para sincronizar los ajustes de tiempo con una NTP servidor. Un grupo de clientes NTP que obtienen informacin de la hora de un solo proveedor tiene ms consistente configuracin de la hora y los mensajes Syslog generados pueden analizarse ms fcilmente. Esto puede ayudar al solucionar problemas con los problemas de red y ataques. Cuando NTP se implementa en la red, que puede ser configurado para sincronizar con un reloj maestro privado, o a un servidor NTP a disposicin del pblico en Internet. El servidor NTP es el servidor maestro NTP en este laboratorio. Deber configurar los routers para que el reloj de software estar sincronizados por NTP al servidor de horario. Adems, configurar los routers para actualizar peridicamente el reloj de hardware con el tiempo aprendi de NTP. De lo contrario, el reloj de hardware tender a perder poco a poco o ganar tiempo (deriva) y el reloj de software y hardware del reloj puede quedar fuera de sincronizacin con los dems. El servidor de Syslog proporcionar el registro de mensajes en este laboratorio. Deber configurar los routers para identificar el mando a distancia host (servidor Syslog) que recibir los mensajes de registro. Usted tendr que configurar el servicio de indicacin de la hora para iniciar sesin en los routers. Visualizacin de la hora y fecha correctas en Mensajes Syslog es vital cuando se usa Syslog para monitorear una red. Si la hora y la fecha correcta de un mensaje no se conocen, puede ser difcil determinar qu evento de red causado el mensaje. R2 es un ISP conectado a dos redes remotas: R1 y R3. El administrador local en R3 puede realizar la mayora configuraciones del router y solucin de problemas, sin embargo, ya que R3 es un router gestionado, el ISP necesita acceso a R3 para la resolucin de problemas o cambios ocasionales. Para proporcionar este acceso de forma segura, los administradores tienen acordado utilizar Secure Shell (SSH). Utilice la CLI para configurar el router a gestionar de forma segura mediante SSH en lugar de telnet. SSH es una red protocolo que establece una conexin de emulacin de terminal seguro a un router u otro dispositivo de red. SSH cifra toda la informacin que pasa a travs del enlace de red y proporciona autenticacin del equipo remoto. SSH est reemplazando rpidamente a Telnet como la herramienta de acceso remoto de eleccin para los profesionales de la red. Los servidores han sido pre-configurado para NTP y servicios Syslog respectivamente. NTP no requerir la autenticacin. Los routers se han configurado previamente con lo siguiente:

 Habilitar contrasea: ciscoenpa55 Contrasea para las lneas vty: ciscovtypa55 Enrutamiento esttico

Task 1: Configure routers as NTP Clients.

Step 1. Test Connectivity Ping from PC-C to R3. Ping from R2 to R3. Telnet from PC-C to R3. Exit the Telnet session. Telnet from R2 to R3. Exit the Telnet session. Step 2. Configure R1, R2 and R3 as NTP clients. R1(config)# ntp server 192.168.1.5 R2(config)# ntp server 192.168.1.5 R3(config)# ntp server 192.168.1.5 Verify client configuration using the command show ntp status. Step 3. Configure routers to update hardware clock. Configure R1, R2 and R3 to periodically update the hardware clock with the time learned from NTP. R1(config)# ntp update-calendar R2(config)# ntp update-calendar R3(config)# ntp update-calendar Verify that the hardware clock was updated using the command show clock. Step 4. Configure routers to timestamp log messages. Configure timestamp service for logging on the routers. Step 0. R1(config)# service timestamps log datetime msec R2(config)# service timestamps log datetime msec R3(config)# service timestamps log datetime msec

Task 2: Configure routers to log messages to the Syslog Server.

Step 1. Configure the routers to identify the remote host (Syslog Server) that will receive logging messages. R1(config)# logging host 192.168.1.6 R2(config)# logging host 192.168.1.6 R3(config)# logging host 192.168.1.6 The router console will display a message that logging has started.

Paso 2. Verifique la configuracin de registro mediante el registro de comando show. Paso 3. Examine los registros del servidor Syslog. Paso 0. En la ficha Configuracin del cuadro de dilogo del servidor Syslog, seleccione el botn de servicios de Syslog. Observe el mensajes de registro recibidas de los routers. Nota: Los mensajes de registro se pueden generar en el servidor mediante la ejecucin de comandos en el router. Por ejemplo, entrar y salir del modo de configuracin global se generar un mensaje de configuracin de informacin.

Task 3: Configure R3 to support SSH connections.

Step 1. Configure a domain name.

Configure a domain name of ccnasecurity.com on R3. R3(config)# ip domain-name ccnasecurity.com Step 2. Configure users for login from the SSH client on R3. Create a user ID of SSHadmin with the highest possible privilege level and a secret password of ciscosshpa55. R3(config)# username SSHadmin privilege 15 secret ciscosshpa55 Step 3. Configure the incoming VTY lines on R3. Use the local user accounts for mandatory login and validation. Accept only SSH connections. R3(config)# line vty 0 4 R3(config-line)# login local R3(config-line)# transport input ssh Step 4. Erase existing key pairs on R3. Any existing RSA key pairs should be erased on the router. R3(config)#crypto key zeroize rsa Nota: Si no hay claves, es posible que reciba el siguiente mensaje:% No hay ninguna firma claves RSA se encuentran en configuracin. Step 5. Generar el par de claves de cifrado RSA para R3. El router utiliza el par de claves RSA para la autenticacin y el cifrado de los datos transmitidos por SSH. Configure la clve RSA con un mdulo de 1024. El valor por defecto es 512, y el rango es de 360 a 2.048. R3(config)# crypto key generate rsa [Enter] The name for the keys will be: R3.ccnasecurity.com Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]:1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] Note: El comando para generar pares de claves de cifrado RSA para R3 en Packet Tracer difiere de los utilizados en el laboratorio. Step 6. Compruebe la configuracin de SSH. Utilice el comando show ip ssh para ver la configuracin actual. Compruebe que el tiempo de espera de la autenticacin y reintentos estn en sus valores por defecto de 120 y 3. Step 7. Configurar SSH tiempos de espera y los parmetros de autenticacin. Los tiempos de espera de SSH por defecto y los parmetros de autenticacin pueden ser modificados para ser ms restrictiva. Ajuste el tiempo de espera de 90 segundos, el nmero de reintentos de autenticacin a 2, y la versin a 2. R3(config)# ip ssh time-out 90 R3(config)# ip ssh authentication-retries 2 R3(config)# ip ssh version 2 Issue the show ip ssh command again to confirm that the values have been changed. Step 8. Intente conectarse a R3 a travs de Telnet desde PC-C. Abra el escritorio de la PC-C. Seleccione el icono del smbolo del sistema. Desde PC-C, escriba el comando para conectarse a R3 a travs de Telnet. PC> telnet 192.168.3.1 Esta conexin falla, ya que R3 se ha configurado para aceptar slo conexiones SSH en las lneas de terminal virtual. Step 9. Connect to R3 using SSH on PC-C.

Abra el escritorio de la PC-C. Seleccione el icono del smbolo del sistema. Desde PC-C, escriba el comando para conectarse a R3 a travs de SSH. Cuando se le solicite la contrasea, introduzca la contrasea configurada por el administrador ciscosshpa55. PC> ssh l SSHadmin 192.168.3.1

Paso 10. Conectarse a R3 utilizando SSH en R2. Con el fin de solucionar problemas y mantener el router R3, el administrador en el ISP debe utilizar SSH para acceder a la enrutador CLI. Desde la CLI de R2, introduzca el comando para conectarse a R3 a travs de la versin 2 de SSH con el SSHadmin cuenta de usuario. Cuando se le solicite la contrasea, introduzca la contrasea configurada para el administrador:ciscosshpa55. R2 # ssh-v 2-l SSHadmin 10.2.2.1 Paso 11. Verificar los resultados.

Entregar un informe sobre la practica relacionada y adjuntar archivo packet Tracer