A2: Att säkra en Cisco router

I denna PTA kommer du att utföra grundläggande konfigurering av en CISCO router i Packet Tracer.

Syftet är att träna exekvering av olika kommando inför praktiska laborationer. Aktiviteten bygger på genomgången om Cisco IOS operativsystem samt kunskaper om IP-adressering. Det rekommenderas att läsa instruktioner noggrant för en fullständig uppfattning.
Material:

  • En dator med programmet Packet Tracer
  • I Packet Tracer en PC, en switch 2960 och en router 1941

När laborationen görs i en fysisk miljö kommer att behövas en dator med Terminalemuleringsprogram, en Cisco switch och router, en konsolokabel, två TP-kablar.

Topologi

Enhet Interface IP-adress Nätmask Default Gateway SW1 port R1
PC1 Fa0 192.168.1.10 255.255.255.0 192..168.1.1 Fa0/1  
R1 Gig0/1 192.168.1.1 255.255.255.0     Gig0/1

.

Observera att fokus i denna laboration är routern därmed konfigureras inte switchen. Instruktioner från 1 till 6 görs när vi skapar en ny nätverkstopologi i Packet Tracer. Instruktioner från steg 1 till 6 kan också användas, med några anpassningar, när vi laborerar med riktiga Cisco switchar och routrar samt med en dator som kör ett terminalemuleringsprogram. Börja laborationen i Packet Tracer från instruktion 7.

Instruktioner

  1. Starta Packet Tracer
  2. Klicka på End Devices och därefter på en PC. Klicka på arbetsplatsen där du vill placera datorn PC-PT,
  3. Klicka på Network Devices och därefter på en 2960 router. Klicka på arbetsplatsen där du vill placera routern enligt topologin.
  4. Gör det samma med en router 1941
  5. Klicka på Connections (blixten) och välj kabeln Copper Straight-Through. Anslut datorn till routern och den till router enligt topologin.
  6. Klicka på Connections igen och denna gång väljer du kabeln Console. Ansluta kabeln på datorns RS 232 port och på routern till Console port.
  7. Konfigurera IP-adressering på datorn enligt tabellen som anges ovan.
  8. Klicka på PC1, Desktop, och Terminal så att du ser inställningar för RS 232 porten.

    1. RS 232 är en seriell uppkoppling där dataöverföringshastighet är 9600 bps. Fler dataöverföringshastigheter stöds av Windows men 9600 bps fungerar som standard på alla nätverksutrustningar.
    2. Data bits indikerar starten av en dataöverföring medan Stop Bits slutet.
    3. Feldetektering kan göras med paritetsbit (Parity) system men det måste stödjas också av den andra porten och därför används inte. Slutligen Flow Control anger typen av kontroller på CST och RTS funktioner för att reglera flödet av tecken (characters). Flödeskontrollen fungerar inte tillräckligt bra på den här typen av transmissioner och därför brukar den inte användas.
  1. Klicka på OK så att terminalen öppnas. Tryck på Enter på tangentbordet och då ser du prompten Router> (anger användarexekveringsläge)

Uppgift 1: Ta fram routerns standard inställningar

  1. Exekvera kommandot show running-config
  2. Svara följande frågor:
    1. Hur många Fast Ethernet interface har routern?
    2. Hur många Gigabit Ethernet interface har routern?
    3. Är interface VLAN1 IP-adresserat och vad används detta interface till?
    4. Vilket intervall anges i VTY-linjer?
    5. Vad används VTY-linjer till?

Uppgift 2: Tilldela ett namn till routern

  1. Exekvera kommando enable för att komma åt det priviligierat exekveringsläget. Prompten ändrar sig till Router#
  2. Exekvera kommando configure terminal för att komma åt det globala konfigurationsläget.
  3. Exekvera kommando hostname R1

Uppgift 3: Säkra åtkomst till konsolporten

  1. Studera topologin. För att komma åt en router behövs en dator som kan anslutas till routern med en konsolkabel. I Packet Tracer används en konsolkabel med änderna RS 232 och RJ45 kontakter. I den fysiska laborationsmiljö används en kabel med änderna USB (nu typ C) och RJ45 kontakter. RJ45 ansluts till routers port Console och USB till datorn.

Förutsatt att konsol-kopplingen har gjorts räcker det att exekvera kommando enable för att komma åt routern! Åtkomsten måste hindras för obehöriga. Exekvera följande:

  • R1# configure terminal
  • R1(config)# line console 0
  • R1(config-line)# password consop@55
  • R1(config-line)# login
  • R1(config-line)# logging synchronous
  • R1(config-line)# exit
  • R1(config)# exit
  • R1#

Varför login kommandot?

Uppgift 4: Säkra åtkomst till virtuella kommunikationslinjer (VTY)

  1. För att skydda åtkomsten till routern via VTY konfigurera ett lösenord genom att exekvera följande:
  • R1(config)# line vty 0 4
  • R1(config-line)# password vtyliP@55
  • R1(config-line)# login
  • R1(config-line)# exit
  • R1(config)#

Vad används VTY kommunikationslinjer till?

Uppgift 5: Säkra priviligierat exekveringsläge

  1. Konfigurera ett lösenord som krypteras direkt med kommando enable secret.
  • R1# configure terminal
  • R1(config)# enable secret ensecP@55
  • R1(config)# exit
  • R1(config)# exit
  • R1#
  1. Bekräfta att lösenordet ensecP@55 är i krypterat.
  • R1# shos running-config
  • R1# exit
  1. Logga in på nytt

Observera att enable secret gäller över enable password!

Uppgift 6: Kryptera befintliga lösenord

  1. Verifiera först att lösenorden consoP@55 och vtyliP@55 är i textklart format. Från det priviligierat exekveringsläget exekvera show running-config.
  2. För att kryptera befintliga textklara och kommande lösenord exekvera följande:
  • R1> enable
  • R1# configure terminal
  • R1(config)# service password-encryption
  • R1(config)# exit
  • R1# show running-config

Sök efter lösenordet consop@55 och enap@55. Är dessa lösenord i klartext? Om inte så är de krypterade. Med vilken krypteringsalgoritm)

Uppgift 7: Inaktivera routers sökande efter okända kommando (felaktiga)

  1. När man exekverar felaktiga kommando söker routern efter dessa i långa sekunder. För att inaktivera denna funktion exekvera följande:
  • R1(config)# no ip domain-lookup

Uppgift 8: Konfigurera ett varningsmeddelande som visas vid inloggning

  1. För att skapa ett varningsmeddelande exekvera följande:
  • R1# configure terminal
  • R1(config)# banner motd ”This is a secure system. Authorized Access Only!”
  • R1(config)# exit
  • R1# exit

Uppgift 9: IP-adressering på interface Gig0/1

  1. En router kan ha flera olika typer av interface. I topologin används Gig0/1 som kan också betecknas som g0/1. För att IP-adressera interfacet exekvera följande:
  • R1# configure terminal
  • R1(config)# interface Gig0/1
  • R1(config-if)# description Connected to routeren SW1
  • R1(config-if)# ip address 192.168.1.1 255.255.255.0
  • R1(config-if)# no shutdown
  • R1(config-if)# exit
  • R1(config)# exit
  • R1# show ip interface brief
  • R1# copy running-config startup-config

Uppgift 10: Verifiera IP-konfigurering med PING

  1. Klicka på PC1, Desktop, Command Prompt.
  2. Exekvera:
    1. Ipconfig /all för att verifiera datorns IP-konfigurering. Ser du datorns Default Gateway? Vad har den som adress?
    2. ping 127.0.0.1
    3. Vad har för namn IP-adressen 127.0.0.1?
    4. Varför använder man den?
    5. ping 192.168.1.10
    6. Varför detta ping?
    7. ping 192.168.1.1
    8. Vad är routers interfacet Gig0/1 för datorn?

Labben klar!