InfoAcademy

Cisco Networking Academy

www.infoacademy.net

CCNA 1 TEMA 105 – LABORATOR INTEGRATOR

Ne propunem in acest laborator sa integram comenzile invatate in prima parte a modulului si

vom alcatui o topologie in Packet Tracer cu urmatoarele elemente de retea:
 1 x Router Cisco 2811
 2 x Switch Catalyst 2960
 4 x Host-uri (PC / Laptop)
 Cabluri Straight (intre Router si Switch dar si intre Switch si Host)

Topologia astfel construita arata astfel:

Observam ca implicit (fara sa facem nici o setare) interfetele de Router sunt inchise iar
interfetele de Swich si PC sunt automat active. Interfetele de Switch care fac legatura cu
Routerul sunt de asemenea inchise. Conditia ca o legatura dintre doua echipamente sa fie
activa, este ca interfetele din ambele capete sa fie deschise.

Cablarea am realizat-o astfel:

 Portul f0/0 din router catre portul f0/5 al switch-ului S01
 Portul f0/1 din router catre portul f0/5 al switch-ului S02
 Portul f0/10 al S01 este conectat cu H1
 Portul f0/15 al S01 este conectat cu H2
 Portul f0/10 al S02 este conectat cu H3
 Portul f0/15 al S02 este conectat cu H4

Dupa realizarea configuratiei , facem urmatoarele setari pe echipamente:

Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
1
 InfoAcademy
Cisco Networking Academy
www.infoacademy.net

Pasul 1. Identificarea echipamentelor in sistemul IOS

Mai ales cand administram un echipament de la distanta (metode IN-BAND: telnet/ssh) avem
nevoie sa stim pe ce echipament suntem conectati, astfel comanda hostname o vom folosi pe
toate cele 3 echipamente.
Ca regula generala, pentru a ajunge in modul “GLOBAL CONFIGURATION”:
se trece din modul user exec cu comanda “enable”, in modul privileged exec si apoi catre
modul “global configuration” cu comanda “configure terminal”:

>enable
#configure terminal
(config)#....

Router(config)#hostname HQ
HQ(config)#

Switch(config)#hostname S01
S01(config)#

Switch(config)#hostname S02
S02(config)#

Inainte de pasul al doilea sa recapitulam modurile de configurare de pe un echipament Cisco si

ordinea in care se intra pe acestea:

Primul mod este “User Executive” este recunoscut dupa prompt-ul “>” si cuprinde un set
restrans de comenzi de vizualizare , in acelasi timp este modul cel mai neprivilegiat , pe el
ajungadu-se prin 3 cai posibile:
 OUT-OF-BAND (conexiune dedicata) :
 Prin Linia de consola
 IN-BAND (remote - de la distanta) :
 Prin Telnet (necriptat)
 Prin SSH (criptat)

Al doilea mod este “Privileged Executive” - il recunoastem dupa prompt-ul “#” si cuprinde
setul complet de comenzi de vizualizare de informatii ale echipamentului dar si de debugging.
In acest mod se poate ajunge folosind comanda “>enable” din modul “user exec”.

Al treilea mod este cel care ne permite sa configuram efectiv echipamentul, se numeste “Global
configuration” si se poate ajunge din modul anterior prin comanda “#configure terminal”. Acest
mod este recunoscut dupa prompt-ul “(config)#”

Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
2
 InfoAcademy
Cisco Networking Academy
www.infoacademy.net

Mai exista si moduri specifice de configurare :

 “Interface configuration” caracterizat prin prompt-ul “(config-if)#” in care se poate
ajunge din global configuration prin comanda “(config)#interface [nume_interfata]”
 “Line configuration” caracterizat prin prompt-ul “(config-line)#” in care se poate ajunge
din global configuration prin comanda “(config)#line console 0” sau “(config)#line vty
[min] [max]”. Unde valorile minime si maxime depind de tipul echipamentului
(Router/Switch).

Pasul 2. Securizarea liniei de consola

Pentru aceasta intram pe fiecare echipament din modul “global configuration” in modul specific
“config-line” si setam o parola apoi o activam (obligam echipamentul sa o solicite inainte sa ne
permita accesul in modul “user exec”):

HQ(config)#line console 0
HQ(config-line)#password cisco
HQ(config-line)#login
HQ(config-line)#logging synchronous
HQ(config-line)#exit

S01(config)#line console 0
S01(config-line)#password cisco
S01(config-line)#login
S01(config-line)#logging synchronous
S01(config-line)#exit

S02(config)#line console 0
S02(config-line)#password cisco
S02(config-line)#login
S02(config-line)#logging synchronous
S02(config-line)#exit

Ultima comanda (marcata cu galben) din acest set, are rolul de a separa mesajele afisate de
echipament fata de comenzile introduse de la tastatura. Astfel comenzile partiale (chiar cursorul
in sine) trec pe linia urmatoare daca se intampla ca , in timpul tastarii sa se afiseze un mesaj de
informare (unul sau mai multe log-uri).

Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
3
 InfoAcademy
Cisco Networking Academy
www.infoacademy.net

Pasul 3. Securizarea liniilor telnet

Se realizeaza prin configurarea liniilor virtuale (vty) . Aici apare o diferenta legata de numarul
liniilor si anume: pe router exista 5 linii virtuale , numerotate de la 0 la 4 iar pe switch exista 16
linii virtuale numerotate de la 0 la 15. In IOS-urile mai noi atat pe router cat si pe switch exista
16 linii virtuale. Configuram si pe acestea o parola , apoi o activam cu comanda login.

HQ(config)#line vty 0 4
HQ(config-line)#password class
HQ(config-line)#login
HQ(config-line)#exit

S01(config)#line vty 0 15
S01(config-line)#password class
S01(config-line)#login
S01(config-line)#exit

S02(config)#line vty 0 15
S02(config-line)#password class
S02(config-line)#login
S02(config-line)#exit

Observam ca prompt-ul , atat in cazul liniei de consola cat si in cazul liniilor vty este acelasi,
(config-line) , ca atare va trebui sa acordam o atentie deosebita liniei sau liniilor pe care am
intrat , intrucat prompt-ul nu ne spune si pe care din ele suntem pozitionati.

Pasul 4 . Protejarea accesului la modul privileged executive.

Un presupus atacator daca reuseste sa intre pe modul user executive, trebuie sa mai aiba o
bariera si anume interzicerea trecerii pe modul privileged executive. Trecerea pe modul
privileged executive se face cu comanda “enable”. Astfel detinem 2 tipuri de parole de protectie
a acestui mod:
 “Enable password” care se stocheaza implicit in clear text si necesita metoda
separata de criptare daca nu dorim sa fie aflata.
 “Enable secret” care are propriul algoritm de criptare denumit hash MD5, cu 2
avantaje majore: lungimea parolei dupa criptare are lungime fixa indiferent de
lungimea parolei originale si (cel mai mare avantaj) nu are algoritm invers( de
decriptare a hash-ului MD5)

Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
4
 InfoAcademy
Cisco Networking Academy
www.infoacademy.net

HQ(config)#enable password cisco

HQ(config)#enable secret class

S01(config)#enable password cisco

S01(config)#enable secret class

S02(config)#enable password cisco

S02(config)#enable secret class

In cazul in care am setat ambele parole, la trecerea din user exec in privileged exec, va fi luata
in considerare doar cea mai puternica, adica “enable secret”.

Pasul 5. Criptarea celorlalte tipuri de parole

Totusi chiar si parola de tip “enable password” beneficiaza de o metoda de criptare(mai slaba
intr-adevar) astfel:

HQ(config)#service password-encryption

S01(config)#service password-encryption

S02(config)#service password-encryption

De acest mod / serviciu de criptare beneficiaza si parolele de pe liniile consola si telnet(de la

pasul 2 si pasul 3 dar si alte tipuri de parole din IOS.

Pasul 6. Configurarea unui mesaj de informare inainte de intrarea pe modul user exec.

Acesta mai poarta denumirea de Banner si este insotit de un caracter delimitator la inceput si la
sfarsit , caracter ce trebuie sa fie acelasi . Recomandat este caracterul # deoarece acesta nu
trebuie sa se repete in interiorul mesajului de informare.

HQ(config)#banner motd #Accesul pe echipament este interzis!#

S01(config)#banner motd #Accesul pe echipament este interzis!#

S02(config)#banner motd #Accesul pe echipament este interzis!#

Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
5
 InfoAcademy
Cisco Networking Academy
www.infoacademy.net

Pasul 7. Alocam adrese IPv4 pe toate interfetele echipamentelor

Initial alegem doua “Adrese de Retea IPv4” diferite intrucat avem 2 retele
Prima retea “LAN1” este formata din interfata f0/0 a routerului HQ, Switch-ul S01 si
calculatoarele H1 si H2.
A doua retea “LAN2” este formata din interfata f0/1 a routerului HQ , Switch-ul S02 si
calculatoarele H3 si H4.

Alegem pentru prima retea (LAN1) : 192.168.0.0 / 24

Alegem pentru a doua retea (LAN2) : 172.16.1.0 / 24

Astfel vom alocal adrese IPv4 conform urmatorului tabel:

ECHIPAMENT INTERFATA IP / Netmask Default gateway

HQ Fast Ethernet0/0 192.168.0.1 / 24 -
HQ Fast Ethernet0/1 172.16.1.1 / 24 -
S01 VLAN1 192.168.0.2 / 24 192.168.0.1
S02 VLAN1 172.16.1.2 / 24 172.16.1.1
H1 Fast Ethernet0 192.168.0.3 / 24 192.168.0.1
H2 Fast Ethernet0 192.168.0.4 / 24 192.168.0.1
H3 Fast Ethernet0 172.16.1.3 / 24 172.16.1.1
H4 Fast Ethernet0 172.16.1.4 / 24 172.16.1.1

Este de precizat ca atat adresa de retea cat si adresa de broadcast nu sunt alocabile pe nici o
interfata. Am ales pe interfetele routerului prima adresa alocabila din fiecare retea , a doua
adresa am alocat-o pentru interfata virtuala VLAN1 a switch-urilor . Iar a treia si a patra adresa
am alocat-o pe fiecare calculator.

Incepem sa setam adresele IPv4 pe router impreuna cu o descriere asociata la fiecare interfata
apoi activam interfetele cu comanda “no shutdown”

HQ(config)#interface fasteternet 0/0

HQ(config-if)#ip address 192.168.0.1 255.255.255.0
HQ(config-if)#description Legatura cu LAN1
HQ(config-if)#no shutdown

Iesim de pe interfata curenta:

HQ(config-if)#exit

Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
6
 InfoAcademy
Cisco Networking Academy
www.infoacademy.net

Apoi intram pe cealalta interfata:

HQ(config)#interface fasteternet 0/1
HQ(config-if)#ip address 172.16.1.1 255.255.255.0
HQ(config-if)#description Legatura cu LAN2
HQ(config-if)#no shutdown
HQ(config-if)#exit

Adresele de pe aceste doua interfete folosesc drept adrese IP destinatie in momentul cand
dorim sa facem management pe Router prin telnet/ssh.

Urmeaza adresa IP pe interfata de management VLAN1 a fiecarui Switch. Aceasta va folosi

drept IP destinatie in momentul cand accesam Swich-urile prin Telnet/SSH. Setam IP pe
aceasta interfata intrucat celelalte porturi de Switch (fastethernet0/1 – 0/24) nu permit alocarea
de adrese IP , avand doar adrese MAC.

S01(config)#interface vlan1
S01(config-if)#ip address 192.168.0.2 255.255.255.0
S01(config-if)#description management Switch S01
S01(config-if)#no shutdown
S01(config-if)#exit

S02(config)#interface vlan1
S02(config-if)#ip address 172.16.1.2 255.255.255.0
S02(config-if)#description management Switch S02
S02(config-if)#no shutdown
S02(config-if)#exit

A venit randul si adreselor IP pe calculatoare. Pentru acestea nu exista comenzi ci meniu grafic
(Graphical user interface) astfel: cu un click pe calculator apoi pe tab-ul Desktop apoi primul
meniu “IP configuration”:

La IP address se trece IP-ul din tabel apoi la Subnet Mask se trece masca dupa ce o
transformam din numar zecimal in forma “Dotted Decimal”(pentru masca 24 transformarea in
dotted decimal este 255.255.255.0).

Important ! Adresa IP default gateway este acea adresa IP de pe interfata routerului prin care un
host din interiorul retelei poate sa acceseze un host din alta retea.
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
7
 InfoAcademy
Cisco Networking Academy
www.infoacademy.net

Exemplu: suntem pe calculator H1 si dorim sa accesam H4. Default gateway pentru H1 va fi

IP-ul de pe interfata fast0/0.

De adresa IP default gateway au nevoie si switch-urile: acestea trebuie sa stie pe ce interfata vor
trimite raspunsurile catre hosturile care au trimis cereri (exemplu prin telnet) catre acestea.
Exemplu: H4 acceseaza prin telnet Swich-ul S01(cererea); Acesta din urma va avea nevoie de
un IP default gateway ca sa stie pe ce interfata a routerului va trimite raspunsul la cerere astfel
incat sa ajunga inapoi la H4.

Astfel configuram Swich-urile cu Adresele IP default gateway din tabel:

S01(config)ip default-gateway 192.168.0.1

S02(config)ip default-gateway 172.16.1.1

In acest moment avem conectivitate totala adica orice host poate da ping in orice host inclusiv
in toate tipurile de interfete(fizice / virtuale).

De asemenea putem accesa device-urile de pe orice calculator prin telnet in scop de

management:

Exemplu:
De pe H1 :
 accesam meniul command prompt : >ping 172.16.1.3 (ping in H3)
 accesam routerul prin telnet >telnet 192.168.0.1
 accesam S02 prin telnet >telnet 172.16.1.2 (al interfetei Vlan1)

Pasul 8. Vizualizarea si salvarea configuratiilor

La acest moment putem vizualiza configuratia curenta denumita “running-config” care se afla
stocata in memoria RAM:

HQ#show running-config

S1#show running-config

S2#show running-config

Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
8
 InfoAcademy
Cisco Networking Academy
www.infoacademy.net

Orice comanda de vizualizare care incepe cu show poate fi folosita si din alt mod superior lui
“privileged exec” dar punand cuvantul cheie “do” in fata lui show , astfel comanda devine:

HQ(config)#do show running-config

S1(config)#do show running-config

S2(config)#do show running-config

Aceasta configuratie este stocata intr-o memorie volatila (memoria RAM) iar la orice
intrerupere de curent sau un eventual restart, acest “running-config” se va pierde. Solutia
aceasta problema consta in pastrarea configuratiei dar sub forma unui fisier cu alt nume
“startup-config” si stocat intr-o memorie nevolatila (NVRAM – parte din FLASH). Pentru
aceasta actiune folosim comanda:

HQ#copy [fisier-sursa] [fisier-destinatie]

Fisierul sursa este “running-config” iar cel destinatie este “startup-config” care initial nu exista.
Astfel comanda va fi :

HQ#copy running-config startup-config

Vom fi solicitati sa confirmam numele fisierului cu ENTER.

In acest moment putem accesa si fisierul startup-config folosind tot comanda de tip show:

HQ#show startup-config

S1#show startup-config

S2#show startup-config

Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
9