вторник, 28 февраля 2017 г.

Сброс пароля на маршрутизаторе

Доброго времение суток!

Сегодня рассмотрим пример сброса пароля на маршрутизаторе Cisco. Бывает ситуации, когда мы не знаем пароль для консольного доступа и для доступа в привилегированный режим. Для сброса мы подключаемся к маршрутизатору через консольный кабель и выполняем следующие шаги:
- Подключаемся к маршрутизатору через консольный кабель и на компьютере запускаем терминал (Например, putty.exe)
- На маршрутизаторе включаем питание
- Когда маршрутизатор начинает распаковать образ:


 нажимаем сочетание клавиши Cntrl+C. Это останавливает загрузку образа Cisco IOS.
- Если мы всё правильно сделали, то окажемся в режиме ROMMON. Это выглядит так:


- С помощью вопросительного знака смотрим доступные команды этого режима:


- Мы используем команду confreg. Это команда позволяет нам меняет значение регистра. По умолчанию на маршрутизаторе регистр имеет значение 0х2102. Мы меняем его на 0х2142. 



Почему 0х2142? При таком значении регистра маршрутизатор будет игнорировать содержимое NVRAM. Значит, он загрузится без начальной конфигурации, как новый. Далле для загрузки указываем команду boot:


Далее маршрутизатор загрузится без конфигурации:


Теперь попадаем в привилегированный режим и копируем startup-config в running-config:


Здесь меняем необходимые пароли на свои и сохраняем конфигурацию. В конце меняем значение конфиг-регистра на 0х2102:



Перезагружаем маршрутизатор. Хорошего Всем дня!

понедельник, 6 февраля 2017 г.

Cisco Packet Tracer Frame Relay EIGRP NAT



                                                      Техническая задача
1)  Базовая настройка
– Для устройств Головного Офиса (HQ) настройте пароль для привилегированного режима: cisco123
На устройствах  настройте логин –admin и пароль– ciscomaster.
– Для удаленного подключения и консольного подключения используйте аутентификацию  через локальную базу данных.
– На маршрутизаторах HQ-Astana, Branch-Uralsk, Branch-Almaty настройте удаленное подключение через SSH
– Придумайте баннер для каждого устройства
– Шифруйте все пароли
– На устройствах  настройте правильную временную зону и время.

2) IP-адресация
Для WAN Frame Relay канала
Укажите тип инкапсуляции как Frame Relay на последовательных интерфейсах маршрутизаторов HQ-Astana, Branch-Uralsk, Branch-Almaty.
– На всех трех маршрутизаторах создайте подынтерфейсы с типом точка-точка.
– На подынтерфейсах укажите полосу пропускания  256 кбит/с
– Для обмена данными между HQ-Astana и Branch-Uralsk, HQ-Astana использует DLCI 102, а Branch-Uralsk испоьзует DLCI 201
– Для обмена данными между HQ-Astana и Branch-Almaty, HQ-Astana использует DLCI 103, а Branch-Almaty использует DLCI 301
Для обмена данными между Branch-Almaty и Branch-Uralsk, Branch-Almaty использует DLCI 302, а Branch-Uralsk испоьзует DLCI 203
– Адресация для подынтерфейсов Frame Relay показано на топологии.
Для LAN сетей Branch-Uralsk и Branch-Almaty
– Для LAN сетей назначьте первый адрес для маршрутизаторов и последний для компьютеров. На компьютерах соответственно настройте адрес шлюз.
– На маршрутизторе HQ-Astana пока не назначаем адрес для локальной сети.

3) VLAN
– На коммутаторах HQ-Astana создайте VLAN-ы, которые указаны на топологии
– На портах коммутаторов HQ-Sw1 и HW-Sw2, где подключены компьютеры и серверы укажите соответствующие VLAN
– На маршрутизаторе HQ-Astana создайте подынтерфейсы для каждого VLAN
– Из каждой сети назначьте первый адрес на маршрутизатор
– Из локальной сети DNS сервера назначьте последний используемый адрес на DNS сервер и укажите там шлюз
– Этот адрес DNS сервера укажите на всех остальных компьютерах HQ-Astana, Branch-Uralsk, Branch-Almaty
– Из сети Admin VLAN, используйте первый адрес в качестве шлюза, второй адрес назначьте на HQ-Sw1, третий на HQ-Sw2 и последний для компьютера Admin-PC.
– Не забудьте на коммутаторах указать шлюз
– На последовательном интефейсе подключенный к Интернет-провайдеру укажите тип инкапсуляций PPP.
– Для этого интефейса назначьте второй адрес из сети 89.218.75.208/29. (Первый адрес уже назначен на маршрутизаторе провайдера)

4) Etherchannel и STP
– Физических портов между коммутаторами HQ-Sw1, HW-Sw2 объедините в Port-channel (Номера Port-channel указаны в топологии )
– Режим портов поставьте на включенный (mode on
– На всех интерфейсах Port-channel укажите режим транк
– На всех  коммутаторах включите режим STPRapid-PVST
– Для VLAN-ов 3, 4, 5 корневым коммутатором должен быть HQ-Sw1
Для VLAN-а 2 корневым коммутатором должен быть HQ-Sw2

5)  DHCP
– Для сетей VLAN 3, 4 на маршрутизаторе создайте DHCP пул. Имя для пула придумайте сами.
– Укажите шлюз и адрес DNS сервера
– Исключите из каждого пула первый 10 адресов
– Компьютеры Teacher-PC и Student-PC должны получить адрес динамический

6) ACL
– На маршрутизаторе HQ-Astana создайте расширенный именованный ACL, который разрешает только ICMP трафик, DNS запросы и ответы со всех хостов.(Примечание: DNS использует транспортный протокол UDP и порт 53.)
– Вес остальной трафик должен быть запрешен
– Имя для ACL придумайте сами

7) Маршрутизация
– Между маршрутизаторами HQ-Astana, Branch-Uralsk, Branch-Almaty настройте EIGRP
– Отключите автосуммаризацию
– Настройте статический рекурсивный маршрут в сторону Интернет-провайдера
– Перераспределите этот статический маршрут с помощью EIGRP

8) NAT
– Используйте третий адрес из этого диапазона 89.218.75.208/29 для статического NAT для адреса DNS сервера
– Весь остальной диапазон испорльзуйте для PAT.
– Для локальной сетей  HQ-Astana, Branch-Uralsk, Branch-Almaty дайте доступ в Интернет.

9) Проверка
– Со всех компьютеров проверьте адрес google.kz с помощью браузера. Если вы все правильно настроили, у вас должна открываться страница GooGle.



суббота, 4 февраля 2017 г.

Cisco Packet Tracer ACL


Вы являтесь сетевым инженером университета ЕНУ. Перед вами стоит задача на вашей сети настроить политику безопастности по новой. Вы должны настроить всё по требованию. Требования для сети следующие:

1) Базовая настройка оборудования.
2) Настройка IP-адресации.
3) Настройка статической маршрутизации.
4) Настройка ACL для политики безопасности.

1) Базовая настройка
– Настройте имена для коммутаторов и маршрутизаторов: для Switch1 – ULK_sw_1_F, для  Switch2 – ULK_sw_2_F,  для Switch3 – Server_switch, для  Switch4 – Bukhgalteria_sw,  для Router0 – ULK_rtr, Router1 – Glavniy_rtr
– Настроите пароль для привелегированного режима – Enable_123.
– Для консольного и удаленного доступа через Telnet создайте имя пользователя – admin и секретный пароль – ciscolab. После того как создали имя пользователя и пароль, укажите команду для авторизации консольного доступа и удаленнного доступа через локальную базу данных.
– Настройте доступ на все оборудования через Telnet и консоль.
– Шифруйте все пароли.
– Настройте всплывающие сообщение при входе (Предупреждающие предложение придумайте сами).

2) Схема адресации
– Поделите следующую родительскую сеть 192.168.1.0/24 на подсети так, чтобы в сети 1 этажа УЛК было не меньше 110 устройств, а в сети 2 этажаУЛК было не меньше 50 устройств, а в сети 1 этажа Главного было не меньше 20 устройств, а в сети серверов 12 устройств. Из оставшейся сети выделите подсеть с маской /30 между маршрутизаторами.  (Поделите так, чтобы было наименьшая растрата неиспользуемых адресов)
– Из каждой подсети первый адрес назначьте на шлюз
– Второй адрес назначьте на коммутаторы для управления
– Последний адрес на компьютеры и серверы.

3) Настройка маршрутизации
– На маршрутизаторе ULK_rtr настройте статический маршрут на сети главного корпуса.
– На маршрутизаторе Glavniy_rtr настройте статический маршрут в сторону ULK_rtr.
– После этого отправьте пинг с РС1 на Web-server, DNS-server, PC2.
– Пинг должен быть успешен.

4) Настройка ACL для политики безопасности
– Создайте на маршрутизаторе Glavniy_rtr стандартный ACL, который будет разрешать трафик из двух сетей УЛК к сети серверов, но запрешает на сеть бухгалтеров. Весь остальной трафик должен быть разрешен к сети бухгалтеров.
– Создайте стандартный ACL на ULK_rtr, который запрешает трафик изсети 1 этажа к сети 2 этажа, но весь остальной трафик разрешает.
– Создайте стандартный ACL на ULK_rtr для Telnet, по которому только РС1 могут подключиться к маршрутизатору по Telnet.
– Созданные списки доступа примените на соответствующем интерфейсе.

 Настройка расширенного списка доступа

После того как выполнили первый лаб удалите все ACL из двух маршрутизаторов. Теперь создадим расширенные ACL на маршрутизаторах, для требования следующие:

– Создайте на маршрутизаторе ULK_rtr расширенный ACL, который разрешает доступ из сетей УЛК по http к веб-серверу, разрешает доступ из этих сетей по протоколу DNS только для DNS-сервера, а весь отальной трафик на сеть серверов запрещается. Разрешите доступ из РС1 на Server_switch по Telnet.Также запретите из этих сетей полный доступ на сеть бухгалтеров. Весь остальной трафик запрешается.
– Создайте на маршрутизаторе Glavniy_rtr расширенный ACL, который разрешает ICMP трафик из сетей бухгалтеров к сети серверов, но остальной трафик в сеть серверов запрешается. Также бухгалтеры должны иметь доступ в Интернет.