InfoAcademy

Cisco Networking Academy

www.infoacademy.net

LABORATOR INTEGRATOR – SEDINTA 6

Ne propunem in acest laborator sa integram comenzile invatate in primele 5 sedinte si vom

alcatui o topologie in Packet Tracer cu urmatoarele elemente de retea:
 1 x Router Cisco 2811
 2 x Switch Catalyst 2960
 4 x Host-uri (PC / Laptop)
 Cabluri Straight(intre Router si Switch dar si intre Switch si Host)

Topologia astfel construita arata astfel:

Observam ca implicit (fara sa facem nici o setare) interfetele de Router sunt inchise iar
interfetele de Swich si PC sunt automat active. Interfetele de Switch care fac legatura cu
Routerul sunt de asemenea inchise. Conditia ca o legatura dintre doua echipamente sa fie
activa, este ca interfetele din ambele capete sa fie deschise.

Cablarea am realizat-o astfel:

 Portul f0/0 din router catre portul f0/5 al switch-ului S01
 Portul f0/1 din router catre portul f0/5 al switch-ului S02
 Portul f0/10 al S01 este conectat cu H1
 Portul f0/15 al S01 este conectat cu H2
 Portul f0/10 al S02 este conectat cu H3
 Portul f0/15 al S02 este conectat cu H4

Dupa realizarea configuratiei , facem urmatoarele setari pe echipamente:

Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
1
 InfoAcademy
Cisco Networking Academy
www.infoacademy.net

Pasul 1. Identificarea echipamentelor in sistemul IOS

Mai ales cand suntem conectati de la distanta (metode IN-BAND: telnet/ssh) avem nevoie sa
stim pe ce echipament suntem conectati, astfel comanda hostname o vom folosi pe toate cele 3
echipamente. Ca regula generala, pentru a ajunge in modul “GLOBAL CONFIGURATION”:
se trece din modul user exec cu comanda “enable”, in modul privileged exec si apoi catre
modul “global configuration” cu comanda “configure terminal”:

>enable
#configure terminal
(config)#....

Router(config)#hostname HQ
HQ(config)#

Switch(config)#hostname S01
S01(config)#

Switch(config)#hostname S02
S02(config)#

Inainte de pasul al doilea sa recapitulam modurile de configurare de pe un echipament Cisco si

ordinea in care se intra pe acestea:

Primul mod este “User Executive” si cuprinde un set restrans de comenzi de vizualizare , in
acelasi timp este modul cel mai neprivilegiat , pe el ajungadu-se prin 3 cai posibile:
 OUT-OF-BAND(conexiune dedicata) :
 Prin Linia de consola
 IN-BAND(de la distanta) :
 Prin Telnet
 Prin SSH

Pasul 2. Securizarea liniei de consola

Pentru aceasta intram pe fiecare echipament din modul “global configuration” in modul specific
“config-line” si setam o parola apoi o activam (obligam echipamentul sa o solicite inainte sa
ajungem in modul “user exec”):

HQ(config)#line console 0
HQ(config-line)#password cisco
HQ(config-line)#login
HQ(config-line)#logging synchronous

Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
2
 InfoAcademy
Cisco Networking Academy
www.infoacademy.net

S01(config)#line console 0
S01(config-line)#password cisco
S01(config-line)#login
S01(config-line)#logging synchronous
S01(config-line)#exit

S02(config)#line console 0
S02(config-line)#password cisco
S02(config-line)#login
S02(config-line)#logging synchronous
S02(config-line)#exit

Ultima comanda (marcata cu galben) din acest set, are rolul de a separa mesajele afisate de
echipament fata de comenzile introduse de la tastatura. Astfel comenzile partiale (chiar cursorul
in sine) trec pe linia urmatoare daca se intampla ca , in timpul tastarii sa se afiseze un mesaj de
informare.

Pasul 3. Securizarea liniilor telnet

Aici apare o diferenta legata de numarul liniilor telnet si anume: pe router exista 5 linii telnet ,
numerotate de la 0 la 4 iar pe switch exista 16 linii telnet numerotate de la 0 la 15. Configuram
si pe acestea o parola , apoi o activam cu comanda login.

HQ(config)#line vty 0 4
HQ(config-line)#password class
HQ(config-line)#login
HQ(config-line)#exit

S01(config)#line vty 0 15
S01(config-line)#password class
S01(config-line)#login
S01(config-line)#exit

S02(config)#line vty 0 15
S02(config-line)#password class
S02(config-line)#login
S02(config-line)#exit

Observam ca prompt-ul , atat in cazul liniei de consola cat si in cazul liniilor vty este acelasi,
(config-line) , ca atare va trebui sa acordam o atentie deosebita liniei sau liniilor pe care am
intrat , intrucat prompt-ul nu ne spune si pe care din ele suntem pozitionati.
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
3
 InfoAcademy
Cisco Networking Academy
www.infoacademy.net

Pasul 4 . Protejarea accesului la modul privileged executive.

Un presupus atacator reuseste sa intre pe modul user executive, trebuie sa mai aiba o bariera si
anume interzicerea trecerii pe modul privileged executive. Trecerea pe modul privileged
executive se face cu comanda “enable”. Astfel detinem 2 tipuri de parole de protectie a acestui
mod:
 “Enable password” care se stocheaza implicit in clear text si necesita metoda
separata de criptare daca nu dorim sa fie aflata.
 “Enable secret” care are propriul algoritm de criptare denumit hash MD5, cu 2
avantaje majore: lungimea parolei dupa criptare are lungime fixa indiferent de
lungimea parolei necriptata si (cel mai mare avantaj) nu are algoritm invers( de
decriptare a hash-ului MD5)

HQ(config)#enable password cisco

HQ(config)#enable secret class

S01(config)#enable password cisco

S01(config)#enable secret class

S02(config)#enable password cisco

S02(config)#enable secret class

In cazul in care am setat ambele parole, la trecere din user exec in privileged exec, va fi luata in
considerare doar cea mai puternica, adica “enable secret”.

Pasul 5. Criptarea celorlalte tipuri de parole.

Totusi chiar si parola de tip “enable password” beneficiaza de o metoda de criptare(mai slaba
intr-adevar) astfel:

HQ(config)#service password encryption

S01(config)#service password encryption

S02(config)#service password encryption

De acest mod / serviciu de criptare beneficiaza si parolele de pe liniile consola si telnet(de la

pasul 2 si pasul 3.

Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
4
 InfoAcademy
Cisco Networking Academy
www.infoacademy.net

Pasul 6. Configurarea unui mesaj de informare inainte de intrarea pe modul user exec.

Acesta mai poarta denumirea de Banner si este insotit de un caracter delimitator la inceput si la
sfarsit , caracter ce trebuie sa fie acelasi . Recomandat este caracterul # deoarece acesta nu
trebuie sa se repete in interiorul mesajului de informare.

HQ(config)#banner motd #Accesul pe echipament este interzis!#

S01(config)#banner motd #Accesul pe echipament este interzis!#

S02(config)#banner motd #Accesul pe echipament este interzis!#

Pasul 7. Alocam adrese IPv4 pe toate interfetele echipamentelor

Initial alegem doua “Adrese de Retea IPv4” diferite intrucat avem 2 retele
Prima retea este formata din interfata f0/0 a routerului HQ, Switch-ul S01 si calculatoarele H1
si H2.
A doua retea este formata din interfata f0/1 a routerului HQ , Switch-ul S02 si calculatoarele H3
si H4.

Alegem pentru prima retea(LAN1) : 192.168.0.0 / 24

Alegem pentru a doua retea(LAN2) : 172.16.1.0 / 24

Astfel vom alocal adrese IPv4 conform urmatorului tabel:

ECHIPAMENT INTERFATA IP / Netmask Default gateway

HQ Fast Ethernet0/0 192.168.0.1 / 24 -
HQ Fast Ethernet0/1 172.16.1.1 / 24 -
S01 VLAN1 192.168.0.2 / 24 192.168.0.1
S02 VLAN1 172.16.1.2 / 24 172.16.1.1
H1 Fast Ethernet0 192.168.0.3 / 24 192.168.0.1
H2 Fast Ethernet0 192.168.0.4 / 24 192.168.0.1
H3 Fast Ethernet0 172.16.1.3 / 24 172.16.1.1
H4 Fast Ethernet0 172.16.1.4 / 24 172.16.1.1

Este de precizat ca atat adresa de retea cat si adresa de broadcast nu sunt alocabile pe nici o
interfata. Am ales pe interfetele routerului prima adresa alocabila din fiecare retea , a doua
adresa am alocat-o pentru interfata virtuala VLAN1a switch-urilor . Iar a treia si a patra adresa
am alocat-o pe fiecare calculator.

Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
5
 InfoAcademy
Cisco Networking Academy
www.infoacademy.net

Incepem sa setam adresele IPv4 pe router impreuna cu o descriere asociata la fiecare interfata
apoi activam interfetele cu comanda “no shutdown”

HQ(config)#interface fasteternet 0/0

HQ(config-if)#ip address 192.168.0.1 255.255.255.0
HQ(config-if)#description Legatura cu LAN1
HQ(config-if)#no shutdown

Iesim de pe interfata curenta:

HQ(config-if)#exit

Apoi intram pe cealalta interfata:

HQ(config)#interface fasteternet 0/1
HQ(config-if)#ip address 172.16.1.1 255.255.255.0
HQ(config-if)#description Legatura cu LAN2
HQ(config-if)#no shutdown
HQ(config-if)#exit

Adresele de pe aceste doua interfete folosesc drept adrese IP destinatie in momentul cand dorim
sa facem management pe router prin telnet/ssh.

Urmeaza adresa IP pe interfata de management VLAN1 a fiecarui Switch. Aceasta va folosi

drept IP destinatie in momentul cand accesam Swichurile prin telnet/ssh. Punem IP pe aceasta
interfata intrucat celelalte porturi de Switch (fastethernet0/1 – 0/24) nu permit alocarea de
adrese IP , avand doar adrese MAC.

S01(config)#interface vlan1
S01(config-if)#ip address 192.168.0.2 255.255.255.0
S01(config-if)#description management Switch S01
S01(config-if)#no shutdown
S01(config-if)#exit

S02(config)#interface vlan1
S02(config-if)#ip address 172.16.1.2 255.255.255.0
S02(config-if)#description management Switch S02
S02(config-if)#no shutdown
S02(config-if)#exit

A venit randul si adreselor IP pe calculatoare. Pentru acestea nu exista comenzi ci meniu

grafic(Graphical user interface) astfel: cu un click pe calculator apoi pe tab-ul Desktop apoi
primul meniu “IP configuration”:

Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
6
 InfoAcademy
Cisco Networking Academy
www.infoacademy.net

La IP address se trece IP-ul din tabel apoi la Subnet Mask se trece masca dupa ce o
transformam din numar zecimal in forma “Dotted Decimal”(pentru masca 24 transformarea in
dotted decimal este 255.255.255.0).

Important ! Adresa IP default gateway este acea adresa IP de pe interfata routerului prin care un
host din interiorul retelei poate sa acceseze un host din alta retea.

Exemplu: suntem pe calculator H1 si dorim sa accesam H4. Default gateway pentru H1 va fi

IP-ul de pe interfata fast0/0.

De adresa IP default gateway au nevoie si switch-urile: acestea trebuie sa stie pe ce interfata vor
trimite raspunsurile catre hosturile care au trimis cereri (exemplu prin telnet) catre acestea.
Exemplu: H4 acceseaza prin telnet Swich-ul S01(cererea); Acesta din urma va avea nevoie de
un IP default gateway ca sa stie pe ce interfata a routerului va trimite raspunsul la cerere astfel
incat sa ajunga inapoi la H4.

Astfel configuram Swich-urile cu Adresele IP default gateway din tabel:

S01(config)ip default-gateway 192.168.0.1

S02(config)ip default-gateway 172.16.1.1

In acest moment avem conectivitate totala adica orice host poate da ping in orice host inclusiv
in toate tipurile de interfete(fizice / virtuale)

De asemenea putem accesa device-urile de pe orice calculator prin telnet in scop de

management:

Exemplu:
De pe H1 :
 accesam meniul command prompt : >ping 172.16.1.3 (ping in H3)
 accesam routerul prin telnet >telnet 192.168.1.1
 accesam S02 prin telnet >telnet 172.16.1.2 (al interfetei Vlan1)
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
7
 InfoAcademy
Cisco Networking Academy
www.infoacademy.net

Pasul 8. Vizualizarea si salvarea configuratiilor

La acest moment putem vizualiza configuratia curenta denumita “running-config” care se afla
stocata in memoria RAM:

HQ#show running-config

S1#show running-config

S2#show running-config

Orice comanda de vizualizare care incepe cu show poate fi folosita si din alt mod superior lui
“privileged exec” dar punand cuvantul cheie “do” in fata lui show , astfel comanda devine:

HQ(config)#do show running-config

S1(config)#do show running-config

S2(config)#do show running-config

Aceasta configuratie este stocata intr-o memorie volatila (memoria RAM) iar la orice
intrerupere de curent sau un eventual restart, acest “running-config” se va pierde. Solutia
aceasta problema consta in pastrarea configuratiei dar sub forma unui fisier cu alt nume
“startup-config” si stocat intr-o memorie nevolatila (NVRAM – parte din FLASH). Pentru
aceasta actiune folosim comanda:

HQ#copy [fisier-sursa] [fisier-destinatie]

Fisierul sursa este “running-config” iar cel destinatie este “startup-config” care initial nu exista.
Astfel comanda va fi :

HQ#copy running-config startup-config

Vom fi solicitati sa confirmam numele fisierului cu ENTER.

In acest moment putem accesa si fisierul startup-config folosind tot comanda de tip show:

HQ#show startup-config

S1#show startup-config

S2#show startup-config

Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
8