Documente Academic
Documente Profesional
Documente Cultură
Observam ca implicit (fara sa facem nici o setare) interfetele de Router sunt inchise iar
interfetele de Swich si PC sunt automat active. Interfetele de Switch care fac legatura cu
Routerul sunt de asemenea inchise. Conditia ca o legatura dintre doua echipamente sa fie
activa, este ca interfetele din ambele capete sa fie deschise.
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
1
InfoAcademy
Cisco Networking Academy
www.infoacademy.net
Mai ales cand administram un echipament de la distanta (metode IN-BAND: telnet/ssh) avem
nevoie sa stim pe ce echipament suntem conectati, astfel comanda hostname o vom folosi pe
toate cele 3 echipamente.
Ca regula generala, pentru a ajunge in modul “GLOBAL CONFIGURATION”:
se trece din modul user exec cu comanda “enable”, in modul privileged exec si apoi catre
modul “global configuration” cu comanda “configure terminal”:
>enable
#configure terminal
(config)#....
Router(config)#hostname HQ
HQ(config)#
Switch(config)#hostname S01
S01(config)#
Switch(config)#hostname S02
S02(config)#
Primul mod este “User Executive” este recunoscut dupa prompt-ul “>” si cuprinde un set
restrans de comenzi de vizualizare , in acelasi timp este modul cel mai neprivilegiat , pe el
ajungadu-se prin 3 cai posibile:
OUT-OF-BAND (conexiune dedicata) :
Prin Linia de consola
IN-BAND (remote - de la distanta) :
Prin Telnet (necriptat)
Prin SSH (criptat)
Al doilea mod este “Privileged Executive” - il recunoastem dupa prompt-ul “#” si cuprinde
setul complet de comenzi de vizualizare de informatii ale echipamentului dar si de debugging.
In acest mod se poate ajunge folosind comanda “>enable” din modul “user exec”.
Al treilea mod este cel care ne permite sa configuram efectiv echipamentul, se numeste “Global
configuration” si se poate ajunge din modul anterior prin comanda “#configure terminal”. Acest
mod este recunoscut dupa prompt-ul “(config)#”
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
2
InfoAcademy
Cisco Networking Academy
www.infoacademy.net
Pentru aceasta intram pe fiecare echipament din modul “global configuration” in modul specific
“config-line” si setam o parola apoi o activam (obligam echipamentul sa o solicite inainte sa ne
permita accesul in modul “user exec”):
HQ(config)#line console 0
HQ(config-line)#password cisco
HQ(config-line)#login
HQ(config-line)#logging synchronous
HQ(config-line)#exit
S01(config)#line console 0
S01(config-line)#password cisco
S01(config-line)#login
S01(config-line)#logging synchronous
S01(config-line)#exit
S02(config)#line console 0
S02(config-line)#password cisco
S02(config-line)#login
S02(config-line)#logging synchronous
S02(config-line)#exit
Ultima comanda (marcata cu galben) din acest set, are rolul de a separa mesajele afisate de
echipament fata de comenzile introduse de la tastatura. Astfel comenzile partiale (chiar cursorul
in sine) trec pe linia urmatoare daca se intampla ca , in timpul tastarii sa se afiseze un mesaj de
informare (unul sau mai multe log-uri).
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
3
InfoAcademy
Cisco Networking Academy
www.infoacademy.net
Se realizeaza prin configurarea liniilor virtuale (vty) . Aici apare o diferenta legata de numarul
liniilor si anume: pe router exista 5 linii virtuale , numerotate de la 0 la 4 iar pe switch exista 16
linii virtuale numerotate de la 0 la 15. In IOS-urile mai noi atat pe router cat si pe switch exista
16 linii virtuale. Configuram si pe acestea o parola , apoi o activam cu comanda login.
HQ(config)#line vty 0 4
HQ(config-line)#password class
HQ(config-line)#login
HQ(config-line)#exit
S01(config)#line vty 0 15
S01(config-line)#password class
S01(config-line)#login
S01(config-line)#exit
S02(config)#line vty 0 15
S02(config-line)#password class
S02(config-line)#login
S02(config-line)#exit
Observam ca prompt-ul , atat in cazul liniei de consola cat si in cazul liniilor vty este acelasi,
(config-line) , ca atare va trebui sa acordam o atentie deosebita liniei sau liniilor pe care am
intrat , intrucat prompt-ul nu ne spune si pe care din ele suntem pozitionati.
Un presupus atacator daca reuseste sa intre pe modul user executive, trebuie sa mai aiba o
bariera si anume interzicerea trecerii pe modul privileged executive. Trecerea pe modul
privileged executive se face cu comanda “enable”. Astfel detinem 2 tipuri de parole de protectie
a acestui mod:
“Enable password” care se stocheaza implicit in clear text si necesita metoda
separata de criptare daca nu dorim sa fie aflata.
“Enable secret” care are propriul algoritm de criptare denumit hash MD5, cu 2
avantaje majore: lungimea parolei dupa criptare are lungime fixa indiferent de
lungimea parolei originale si (cel mai mare avantaj) nu are algoritm invers( de
decriptare a hash-ului MD5)
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
4
InfoAcademy
Cisco Networking Academy
www.infoacademy.net
In cazul in care am setat ambele parole, la trecerea din user exec in privileged exec, va fi luata
in considerare doar cea mai puternica, adica “enable secret”.
Totusi chiar si parola de tip “enable password” beneficiaza de o metoda de criptare(mai slaba
intr-adevar) astfel:
HQ(config)#service password-encryption
S01(config)#service password-encryption
S02(config)#service password-encryption
Pasul 6. Configurarea unui mesaj de informare inainte de intrarea pe modul user exec.
Acesta mai poarta denumirea de Banner si este insotit de un caracter delimitator la inceput si la
sfarsit , caracter ce trebuie sa fie acelasi . Recomandat este caracterul # deoarece acesta nu
trebuie sa se repete in interiorul mesajului de informare.
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
5
InfoAcademy
Cisco Networking Academy
www.infoacademy.net
Initial alegem doua “Adrese de Retea IPv4” diferite intrucat avem 2 retele
Prima retea “LAN1” este formata din interfata f0/0 a routerului HQ, Switch-ul S01 si
calculatoarele H1 si H2.
A doua retea “LAN2” este formata din interfata f0/1 a routerului HQ , Switch-ul S02 si
calculatoarele H3 si H4.
Este de precizat ca atat adresa de retea cat si adresa de broadcast nu sunt alocabile pe nici o
interfata. Am ales pe interfetele routerului prima adresa alocabila din fiecare retea , a doua
adresa am alocat-o pentru interfata virtuala VLAN1 a switch-urilor . Iar a treia si a patra adresa
am alocat-o pe fiecare calculator.
Incepem sa setam adresele IPv4 pe router impreuna cu o descriere asociata la fiecare interfata
apoi activam interfetele cu comanda “no shutdown”
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
6
InfoAcademy
Cisco Networking Academy
www.infoacademy.net
Adresele de pe aceste doua interfete folosesc drept adrese IP destinatie in momentul cand
dorim sa facem management pe Router prin telnet/ssh.
S01(config)#interface vlan1
S01(config-if)#ip address 192.168.0.2 255.255.255.0
S01(config-if)#description management Switch S01
S01(config-if)#no shutdown
S01(config-if)#exit
S02(config)#interface vlan1
S02(config-if)#ip address 172.16.1.2 255.255.255.0
S02(config-if)#description management Switch S02
S02(config-if)#no shutdown
S02(config-if)#exit
A venit randul si adreselor IP pe calculatoare. Pentru acestea nu exista comenzi ci meniu grafic
(Graphical user interface) astfel: cu un click pe calculator apoi pe tab-ul Desktop apoi primul
meniu “IP configuration”:
La IP address se trece IP-ul din tabel apoi la Subnet Mask se trece masca dupa ce o
transformam din numar zecimal in forma “Dotted Decimal”(pentru masca 24 transformarea in
dotted decimal este 255.255.255.0).
Important ! Adresa IP default gateway este acea adresa IP de pe interfata routerului prin care un
host din interiorul retelei poate sa acceseze un host din alta retea.
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
7
InfoAcademy
Cisco Networking Academy
www.infoacademy.net
De adresa IP default gateway au nevoie si switch-urile: acestea trebuie sa stie pe ce interfata vor
trimite raspunsurile catre hosturile care au trimis cereri (exemplu prin telnet) catre acestea.
Exemplu: H4 acceseaza prin telnet Swich-ul S01(cererea); Acesta din urma va avea nevoie de
un IP default gateway ca sa stie pe ce interfata a routerului va trimite raspunsul la cerere astfel
incat sa ajunga inapoi la H4.
In acest moment avem conectivitate totala adica orice host poate da ping in orice host inclusiv
in toate tipurile de interfete(fizice / virtuale).
Exemplu:
De pe H1 :
accesam meniul command prompt : >ping 172.16.1.3 (ping in H3)
accesam routerul prin telnet >telnet 192.168.0.1
accesam S02 prin telnet >telnet 172.16.1.2 (al interfetei Vlan1)
La acest moment putem vizualiza configuratia curenta denumita “running-config” care se afla
stocata in memoria RAM:
HQ#show running-config
S1#show running-config
S2#show running-config
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
8
InfoAcademy
Cisco Networking Academy
www.infoacademy.net
Orice comanda de vizualizare care incepe cu show poate fi folosita si din alt mod superior lui
“privileged exec” dar punand cuvantul cheie “do” in fata lui show , astfel comanda devine:
Aceasta configuratie este stocata intr-o memorie volatila (memoria RAM) iar la orice
intrerupere de curent sau un eventual restart, acest “running-config” se va pierde. Solutia
aceasta problema consta in pastrarea configuratiei dar sub forma unui fisier cu alt nume
“startup-config” si stocat intr-o memorie nevolatila (NVRAM – parte din FLASH). Pentru
aceasta actiune folosim comanda:
Fisierul sursa este “running-config” iar cel destinatie este “startup-config” care initial nu exista.
Astfel comanda va fi :
In acest moment putem accesa si fisierul startup-config folosind tot comanda de tip show:
HQ#show startup-config
S1#show startup-config
S2#show startup-config
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
9