Сброс пароля на коммутаторе Cisco

Доброго времени суток!

Сегодня рассмотрим пример сброса пароля на коммутаторе Cisco. Далее делаем следущие шаги:
- Подключаемся к коммутатору через консольный кабель и запускаем терминал на компьютере.
- Нажимая и удерживая кнопку Mode (на передней панели), включаем питание.
- Отпускаем кнопку когда на терминале появится режим switch:

- Далее делаем команду flash_init для инициализации флэш-памяти:

- Смотрим содержимое флэщ-памяти с командой dir flash:

-  В файле config.text хранятся наш startup-config. Дело в том, что на коммутаторе нету выделенного NVRAM. Здесь NVRAM - это текстовый файл во флэш-памяти. При загрузке коммутатор будет искать именно этот файл config.text для загрузки конфига. Соответственно, если мы переименуем этот файл, то коммутатор его не найдет и загрузится без конфига:

- Далее загружаемся через команду boot. Переходим в привилегированный режим и переименуем обратно файл config.text:

- Теперь копируем содержимое config.text в running-config:

После этого можно менять пароли на свои. Хорошего всем дня!

Сброс пароля на маршрутизаторе

Доброго времение суток!

Сегодня рассмотрим пример сброса пароля на маршрутизаторе Cisco. Бывает ситуации, когда мы не знаем пароль для консольного доступа и для доступа в привилегированный режим. Для сброса мы подключаемся к маршрутизатору через консольный кабель и выполняем следующие шаги:
- Подключаемся к маршрутизатору через консольный кабель и на компьютере запускаем терминал (Например, putty.exe)
- На маршрутизаторе включаем питание
- Когда маршрутизатор начинает распаковать образ:

 нажимаем сочетание клавиши Cntrl+C. Это останавливает загрузку образа Cisco IOS.
- Если мы всё правильно сделали, то окажемся в режиме ROMMON. Это выглядит так:

- С помощью вопросительного знака смотрим доступные команды этого режима:

- Мы используем команду confreg. Это команда позволяет нам меняет значение регистра. По умолчанию на маршрутизаторе регистр имеет значение 0х2102. Мы меняем его на 0х2142. 

Почему 0х2142? При таком значении регистра маршрутизатор будет игнорировать содержимое NVRAM. Значит, он загрузится без начальной конфигурации, как новый. Далле для загрузки указываем команду boot:

Далее маршрутизатор загрузится без конфигурации:

Теперь попадаем в привилегированный режим и копируем startup-config в running-config:

Здесь меняем необходимые пароли на свои и сохраняем конфигурацию. В конце меняем значение конфиг-регистра на 0х2102:

Перезагружаем маршрутизатор. Хорошего Всем дня!

Cisco Packet Tracer Frame Relay EIGRP NAT

                                                      Техническая задача

1)  Базовая настройка

– Для устройств Головного Офиса (HQ) настройте пароль для привилегированного режима: cisco123

– На устройствах  настройте логин –admin и пароль– ciscomaster.

– Для удаленного подключения и консольного подключения используйте аутентификацию  через локальную базу данных.

– На маршрутизаторах HQ-Astana, Branch-Uralsk, Branch-Almaty настройте удаленное подключение через SSH

– Придумайте баннер для каждого устройства

– Шифруйте все пароли

– На устройствах  настройте правильную временную зону и время.

2) IP-адресация

Для WAN Frame Relay канала

– Укажите тип инкапсуляции как Frame Relay на последовательных интерфейсах маршрутизаторов HQ-Astana, Branch-Uralsk, Branch-Almaty.

– На всех трех маршрутизаторах создайте подынтерфейсы с типом точка-точка.

– На подынтерфейсах укажите полосу пропускания  256 кбит/с

– Для обмена данными между HQ-Astana и Branch-Uralsk, HQ-Astana использует DLCI 102, а Branch-Uralsk испоьзует DLCI 201

– Для обмена данными между HQ-Astana и Branch-Almaty, HQ-Astana использует DLCI 103, а Branch-Almaty использует DLCI 301

– Для обмена данными между Branch-Almaty и Branch-Uralsk, Branch-Almaty использует DLCI 302, а Branch-Uralsk испоьзует DLCI 203

– Адресация для подынтерфейсов Frame Relay показано на топологии.

Для LAN сетей Branch-Uralsk и Branch-Almaty

– Для LAN сетей назначьте первый адрес для маршрутизаторов и последний для компьютеров. На компьютерах соответственно настройте адрес шлюз.

– На маршрутизторе HQ-Astana пока не назначаем адрес для локальной сети.

3) VLAN

– На коммутаторах HQ-Astana создайте VLAN-ы, которые указаны на топологии

– На портах коммутаторов HQ-Sw1 и HW-Sw2, где подключены компьютеры и серверы укажите соответствующие VLAN-ы

– На маршрутизаторе HQ-Astana создайте подынтерфейсы для каждого VLAN

– Из каждой сети назначьте первый адрес на маршрутизатор

– Из локальной сети DNS сервера назначьте последний используемый адрес на DNS сервер и укажите там шлюз

– Этот адрес DNS сервера укажите на всех остальных компьютерах HQ-Astana, Branch-Uralsk, Branch-Almaty

– Из сети Admin VLAN, используйте первый адрес в качестве шлюза, второй адрес назначьте на HQ-Sw1, третий на HQ-Sw2 и последний для компьютера Admin-PC.

– Не забудьте на коммутаторах указать шлюз

– На последовательном интефейсе подключенный к Интернет-провайдеру укажите тип инкапсуляций PPP.

– Для этого интефейса назначьте второй адрес из сети 89.218.75.208/29. (Первый адрес уже назначен на маршрутизаторе провайдера)

4) Etherchannel и STP

– Физических портов между коммутаторами HQ-Sw1, HW-Sw2 объедините в Port-channel (Номера Port-channel указаны в топологии )

– Режим портов поставьте на включенный (mode on) 

– На всех интерфейсах Port-channel укажите режим транк

– На всех  коммутаторах включите режим STP – Rapid-PVST

– Для VLAN-ов 3, 4, 5 корневым коммутатором должен быть HQ-Sw1

– Для VLAN-а 2 корневым коммутатором должен быть HQ-Sw2

5)  DHCP

– Для сетей VLAN 3, 4 на маршрутизаторе создайте DHCP пул. Имя для пула придумайте сами.

– Укажите шлюз и адрес DNS сервера

– Исключите из каждого пула первый 10 адресов

– Компьютеры Teacher-PC и Student-PC должны получить адрес динамический

6) ACL

– На маршрутизаторе HQ-Astana создайте расширенный именованный ACL, который разрешает только ICMP трафик, DNS запросы и ответы со всех хостов.(Примечание: DNS использует транспортный протокол UDP и порт 53.)

– Вес остальной трафик должен быть запрешен

– Имя для ACL придумайте сами

7) Маршрутизация

– Между маршрутизаторами HQ-Astana, Branch-Uralsk, Branch-Almaty настройте EIGRP

– Отключите автосуммаризацию

– Настройте статический рекурсивный маршрут в сторону Интернет-провайдера

– Перераспределите этот статический маршрут с помощью EIGRP

8) NAT

– Используйте третий адрес из этого диапазона 89.218.75.208/29 для статического NAT для адреса DNS сервера

– Весь остальной диапазон испорльзуйте для PAT.

– Для локальной сетей  HQ-Astana, Branch-Uralsk, Branch-Almaty дайте доступ в Интернет.

9) Проверка

– Со всех компьютеров проверьте адрес google.kz с помощью браузера. Если вы все правильно настроили, у вас должна открываться страница GooGle.

Cisco Packet Tracer ACL

Вы являтесь сетевым инженером университета ЕНУ. Перед вами стоит задача на вашей сети настроить политику безопастности по новой. Вы должны настроить всё по требованию. Требования для сети следующие:

1) Базовая настройка оборудования.
2) Настройка IP-адресации.
3) Настройка статической маршрутизации.
4) Настройка ACL для политики безопасности.

1) Базовая настройка
– Настройте имена для коммутаторов и маршрутизаторов: для Switch1 – ULK_sw_1_F, для  Switch2 – ULK_sw_2_F,  для Switch3 – Server_switch, для  Switch4 – Bukhgalteria_sw,  для Router0 – ULK_rtr, Router1 – Glavniy_rtr
– Настроите пароль для привелегированного режима – Enable_123.
– Для консольного и удаленного доступа через Telnet создайте имя пользователя – admin и секретный пароль – ciscolab. После того как создали имя пользователя и пароль, укажите команду для авторизации консольного доступа и удаленнного доступа через локальную базу данных.
– Настройте доступ на все оборудования через Telnet и консоль.
– Шифруйте все пароли.
– Настройте всплывающие сообщение при входе (Предупреждающие предложение придумайте сами).

2) Схема адресации
– Поделите следующую родительскую сеть 192.168.1.0/24 на подсети так, чтобы в сети 1 этажа УЛК было не меньше 110 устройств, а в сети 2 этажаУЛК было не меньше 50 устройств, а в сети 1 этажа Главного было не меньше 20 устройств, а в сети серверов 12 устройств. Из оставшейся сети выделите подсеть с маской /30 между маршрутизаторами.  (Поделите так, чтобы было наименьшая растрата неиспользуемых адресов)
– Из каждой подсети первый адрес назначьте на шлюз
– Второй адрес назначьте на коммутаторы для управления
– Последний адрес на компьютеры и серверы.

3) Настройка маршрутизации
– На маршрутизаторе ULK_rtr настройте статический маршрут на сети главного корпуса.
– На маршрутизаторе Glavniy_rtr настройте статический маршрут в сторону ULK_rtr.
– После этого отправьте пинг с РС1 на Web-server, DNS-server, PC2.
– Пинг должен быть успешен.

4) Настройка ACL для политики безопасности
– Создайте на маршрутизаторе Glavniy_rtr стандартный ACL, который будет разрешать трафик из двух сетей УЛК к сети серверов, но запрешает на сеть бухгалтеров. Весь остальной трафик должен быть разрешен к сети бухгалтеров.
– Создайте стандартный ACL на ULK_rtr, который запрешает трафик изсети 1 этажа к сети 2 этажа, но весь остальной трафик разрешает.
– Создайте стандартный ACL на ULK_rtr для Telnet, по которому только РС1 могут подключиться к маршрутизатору по Telnet.
– Созданные списки доступа примените на соответствующем интерфейсе.

 Настройка расширенного списка доступа

После того как выполнили первый лаб удалите все ACL из двух маршрутизаторов. Теперь создадим расширенные ACL на маршрутизаторах, для требования следующие:

– Создайте на маршрутизаторе ULK_rtr расширенный ACL, который разрешает доступ из сетей УЛК по http к веб-серверу, разрешает доступ из этих сетей по протоколу DNS только для DNS-сервера, а весь отальной трафик на сеть серверов запрещается. Разрешите доступ из РС1 на Server_switch по Telnet.Также запретите из этих сетей полный доступ на сеть бухгалтеров. Весь остальной трафик запрешается.
– Создайте на маршрутизаторе Glavniy_rtr расширенный ACL, который разрешает ICMP трафик из сетей бухгалтеров к сети серверов, но остальной трафик в сеть серверов запрешается. Также бухгалтеры должны иметь доступ в Интернет. 

Переадресация вызова (Call Forward) на Cisco CME

Доброго времени суток!

Сегодня рассмотрим пример настройки переадресации вызовов на Cisco Call Manager Express. Переадресация - это функция, которая позволяет переадресовать звонки с одного телефона на другой телефон. Пример настройки переадресации с номера 1080 на номер 1090:

Для SIP-телефонов:
voice register dn 8
number 1080
call-forward b2bua all 1090    -------- Переадресовать все звонки сразу на 1090 или можно включить на телефоне через soft-key
call-forward b2bua busy 1090 ------- Переадресовать все звонки, если линия занята
call-forward b2bua noan 1090 timout 15 --- Переадресовать звонки, если не отвечает 15 сек.
call-forward b2bua unregistered 1090 -- Переадресовать звонки, если телефон не зарегистр ирован.

Для SCCP-телефонов:
ephone-dn 8
number 1080
call-forward all 1090
call-forward busy 1090
call-forward b2bua noan 1090 timout 15

На этом пока всё. Хорошего всем дня!