Documente Academic
Documente Profesional
Documente Cultură
Observam ca implicit (fara sa facem nici o setare) interfetele de Router sunt inchise iar
interfetele de Swich si PC sunt automat active. Interfetele de Switch care fac legatura cu
Routerul sunt de asemenea inchise. Conditia ca o legatura dintre doua echipamente sa fie
activa, este ca interfetele din ambele capete sa fie deschise.
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
1
InfoAcademy
Cisco Networking Academy
www.infoacademy.net
Mai ales cand suntem conectati de la distanta (metode IN-BAND: telnet/ssh) avem nevoie sa
stim pe ce echipament suntem conectati, astfel comanda hostname o vom folosi pe toate cele 3
echipamente. Ca regula generala, pentru a ajunge in modul “GLOBAL CONFIGURATION”:
se trece din modul user exec cu comanda “enable”, in modul privileged exec si apoi catre
modul “global configuration” cu comanda “configure terminal”:
>enable
#configure terminal
(config)#....
Router(config)#hostname HQ
HQ(config)#
Switch(config)#hostname S01
S01(config)#
Switch(config)#hostname S02
S02(config)#
Primul mod este “User Executive” si cuprinde un set restrans de comenzi de vizualizare , in
acelasi timp este modul cel mai neprivilegiat , pe el ajungadu-se prin 3 cai posibile:
OUT-OF-BAND(conexiune dedicata) :
Prin Linia de consola
IN-BAND(de la distanta) :
Prin Telnet
Prin SSH
Pentru aceasta intram pe fiecare echipament din modul “global configuration” in modul specific
“config-line” si setam o parola apoi o activam (obligam echipamentul sa o solicite inainte sa
ajungem in modul “user exec”):
HQ(config)#line console 0
HQ(config-line)#password cisco
HQ(config-line)#login
HQ(config-line)#logging synchronous
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
2
InfoAcademy
Cisco Networking Academy
www.infoacademy.net
S01(config)#line console 0
S01(config-line)#password cisco
S01(config-line)#login
S01(config-line)#logging synchronous
S01(config-line)#exit
S02(config)#line console 0
S02(config-line)#password cisco
S02(config-line)#login
S02(config-line)#logging synchronous
S02(config-line)#exit
Ultima comanda (marcata cu galben) din acest set, are rolul de a separa mesajele afisate de
echipament fata de comenzile introduse de la tastatura. Astfel comenzile partiale (chiar cursorul
in sine) trec pe linia urmatoare daca se intampla ca , in timpul tastarii sa se afiseze un mesaj de
informare.
Aici apare o diferenta legata de numarul liniilor telnet si anume: pe router exista 5 linii telnet ,
numerotate de la 0 la 4 iar pe switch exista 16 linii telnet numerotate de la 0 la 15. Configuram
si pe acestea o parola , apoi o activam cu comanda login.
HQ(config)#line vty 0 4
HQ(config-line)#password class
HQ(config-line)#login
HQ(config-line)#exit
S01(config)#line vty 0 15
S01(config-line)#password class
S01(config-line)#login
S01(config-line)#exit
S02(config)#line vty 0 15
S02(config-line)#password class
S02(config-line)#login
S02(config-line)#exit
Observam ca prompt-ul , atat in cazul liniei de consola cat si in cazul liniilor vty este acelasi,
(config-line) , ca atare va trebui sa acordam o atentie deosebita liniei sau liniilor pe care am
intrat , intrucat prompt-ul nu ne spune si pe care din ele suntem pozitionati.
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
3
InfoAcademy
Cisco Networking Academy
www.infoacademy.net
Un presupus atacator reuseste sa intre pe modul user executive, trebuie sa mai aiba o bariera si
anume interzicerea trecerii pe modul privileged executive. Trecerea pe modul privileged
executive se face cu comanda “enable”. Astfel detinem 2 tipuri de parole de protectie a acestui
mod:
“Enable password” care se stocheaza implicit in clear text si necesita metoda
separata de criptare daca nu dorim sa fie aflata.
“Enable secret” care are propriul algoritm de criptare denumit hash MD5, cu 2
avantaje majore: lungimea parolei dupa criptare are lungime fixa indiferent de
lungimea parolei necriptata si (cel mai mare avantaj) nu are algoritm invers( de
decriptare a hash-ului MD5)
In cazul in care am setat ambele parole, la trecere din user exec in privileged exec, va fi luata in
considerare doar cea mai puternica, adica “enable secret”.
Totusi chiar si parola de tip “enable password” beneficiaza de o metoda de criptare(mai slaba
intr-adevar) astfel:
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
4
InfoAcademy
Cisco Networking Academy
www.infoacademy.net
Pasul 6. Configurarea unui mesaj de informare inainte de intrarea pe modul user exec.
Acesta mai poarta denumirea de Banner si este insotit de un caracter delimitator la inceput si la
sfarsit , caracter ce trebuie sa fie acelasi . Recomandat este caracterul # deoarece acesta nu
trebuie sa se repete in interiorul mesajului de informare.
Initial alegem doua “Adrese de Retea IPv4” diferite intrucat avem 2 retele
Prima retea este formata din interfata f0/0 a routerului HQ, Switch-ul S01 si calculatoarele H1
si H2.
A doua retea este formata din interfata f0/1 a routerului HQ , Switch-ul S02 si calculatoarele H3
si H4.
Este de precizat ca atat adresa de retea cat si adresa de broadcast nu sunt alocabile pe nici o
interfata. Am ales pe interfetele routerului prima adresa alocabila din fiecare retea , a doua
adresa am alocat-o pentru interfata virtuala VLAN1a switch-urilor . Iar a treia si a patra adresa
am alocat-o pe fiecare calculator.
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
5
InfoAcademy
Cisco Networking Academy
www.infoacademy.net
Incepem sa setam adresele IPv4 pe router impreuna cu o descriere asociata la fiecare interfata
apoi activam interfetele cu comanda “no shutdown”
Adresele de pe aceste doua interfete folosesc drept adrese IP destinatie in momentul cand dorim
sa facem management pe router prin telnet/ssh.
S01(config)#interface vlan1
S01(config-if)#ip address 192.168.0.2 255.255.255.0
S01(config-if)#description management Switch S01
S01(config-if)#no shutdown
S01(config-if)#exit
S02(config)#interface vlan1
S02(config-if)#ip address 172.16.1.2 255.255.255.0
S02(config-if)#description management Switch S02
S02(config-if)#no shutdown
S02(config-if)#exit
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
6
InfoAcademy
Cisco Networking Academy
www.infoacademy.net
La IP address se trece IP-ul din tabel apoi la Subnet Mask se trece masca dupa ce o
transformam din numar zecimal in forma “Dotted Decimal”(pentru masca 24 transformarea in
dotted decimal este 255.255.255.0).
Important ! Adresa IP default gateway este acea adresa IP de pe interfata routerului prin care un
host din interiorul retelei poate sa acceseze un host din alta retea.
De adresa IP default gateway au nevoie si switch-urile: acestea trebuie sa stie pe ce interfata vor
trimite raspunsurile catre hosturile care au trimis cereri (exemplu prin telnet) catre acestea.
Exemplu: H4 acceseaza prin telnet Swich-ul S01(cererea); Acesta din urma va avea nevoie de
un IP default gateway ca sa stie pe ce interfata a routerului va trimite raspunsul la cerere astfel
incat sa ajunga inapoi la H4.
In acest moment avem conectivitate totala adica orice host poate da ping in orice host inclusiv
in toate tipurile de interfete(fizice / virtuale)
Exemplu:
De pe H1 :
accesam meniul command prompt : >ping 172.16.1.3 (ping in H3)
accesam routerul prin telnet >telnet 192.168.1.1
accesam S02 prin telnet >telnet 172.16.1.2 (al interfetei Vlan1)
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
7
InfoAcademy
Cisco Networking Academy
www.infoacademy.net
La acest moment putem vizualiza configuratia curenta denumita “running-config” care se afla
stocata in memoria RAM:
HQ#show running-config
S1#show running-config
S2#show running-config
Orice comanda de vizualizare care incepe cu show poate fi folosita si din alt mod superior lui
“privileged exec” dar punand cuvantul cheie “do” in fata lui show , astfel comanda devine:
Aceasta configuratie este stocata intr-o memorie volatila (memoria RAM) iar la orice
intrerupere de curent sau un eventual restart, acest “running-config” se va pierde. Solutia
aceasta problema consta in pastrarea configuratiei dar sub forma unui fisier cu alt nume
“startup-config” si stocat intr-o memorie nevolatila (NVRAM – parte din FLASH). Pentru
aceasta actiune folosim comanda:
Fisierul sursa este “running-config” iar cel destinatie este “startup-config” care initial nu exista.
Astfel comanda va fi :
In acest moment putem accesa si fisierul startup-config folosind tot comanda de tip show:
HQ#show startup-config
S1#show startup-config
S2#show startup-config
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de InfoAcademy.
8