.: Skripta - Mgr. Spurná :: Počítačové sítě

:: 9. Access listy - praktická cvičení (25. - 27. hodina)

9.1 Příklad

Vytvořte sestavu PC - router dle obrázku, nakonfigurujte je dle popisků v obrázku a vyzkoušejte průchodnost pingů mezi všemi sítěmi.

Nastavte hesla:
do privilegovaného režimu bude heslo cisco, na konzolu bude heslo class, do telnetu bude heslo vstup.

Nakonec pomocí access listu zajistěte, aby na router A mohl telnetem jen počítač 192.168.1.2 a žádný jiný. Ostatní provoz povolte.

9.1.1 Řešení

Po spuštění routeru pro jistotu proveďte smazání uložené konfigurace, abyste nekonfigurovali na routeru, který již někdo před vámi nějak konfiguroval…

RrouterA#erase start    smazání uloženého konfiguračního souboru
Erasing the nvram filesystem will remove all files! Continue? [confirm]
[OK]
Erase of nvram: complete
routerA#reload    restart routeru
*Mar 1 02:38:26.155: %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram
System configuration has been modified. Save? [yes/no] n
Proceed with reload? [confirm]

*Mar 1 02:38:31.984: %SYS-5-RELOAD: Reload requested by console.
System Bootstrap, Version 12.2(7r)XM2, RELEASE SOFTWARE (fc1)
TAC Support: http://www.cisco.com/tac
Copyright (c) 2003 by cisco Systems, Inc.
C1700 platform with 65536 Kbytes of main memory

program load complete, entry point: 0x80008000, size: 0x417114
Self decompressing the image : #################################################
#################################### [OK]

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

Cisco Internetwork Operating System Software
IOS (tm) C1700 Software (C1700-Y-M), Version 12.2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2004 by cisco Systems, Inc.
Compiled Wed 14-Apr-04 16:57 by hqluong
Image text-base: 0x80008124, data-base: 0x807E50F4

cisco 1760 (MPC860P) processor (revision 0x500) with 58983K/6553K bytes of memory.
Processor board ID FOC085012Z9 (128453473), with hardware revision 0000
MPC860P processor: part number 5, mask 2
Bridging software.
X.25 software, Version 3.0.0.
1 FastEthernet/IEEE 802.3 interface(s)
2 Low-speed serial(sync/async) network in
32K bytes of non-volatile configuration memory.
32768K bytes of processor board System flash (Read/Write)

--- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: n

Would you like to terminate autoinstall? [yes]:

Press RETURN to get started!

*Mar 1 00:00:05.913: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Mar 1 00:00:06.915: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
*Mar 1 00:00:07.147: %LINK-3-UPDOWN: Interface Serial0/0, changed state to up
*Mar 1 00:00:07.151: %LINK-3-UPDOWN: Interface Serial0/1, changed state to down

*Mar 1 00:00:08.149: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to up
*Mar 1 00:00:08.153: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to down
*Mar 1 00:00:12.444: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down
*Mar 1 00:00:57.954: %LINK-5-CHANGED: Interface Serial0/0, changed state to administratively down
*Mar 1 00:00:58.956: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to down
*Mar 1 00:00:59.469: %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to administratively down
*Mar 1 00:00:59.469: %LINK-5-CHANGED: Interface Serial0/1, changed state to administratively down
*Mar 1 00:01:04.914: %SYS-5-RESTART: System restarted --
Cisco Internetwork Operating System Software
IOS (tm) C1700 Software (C1700-Y-M), Version 12.2(11)T11, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2004 by cisco Systems, Inc.
Compiled Wed 14-Apr-04 16:57 by hqluong
*Mar 1 00:01:04.922: %SNMP-5-COLDSTART: SNMP agent on host Router is undergoing
a cold start

Router>enable
Router#configure terminal
Router(config)#hostname RouterA   nastavení jména routeru
RouterA(config)#enable secret cisco   kódované heslo pro vstup do privilegovaného režimu
RouterA(config)#line con 0
RouterA(config-line)#password class   heslo pro vstup na konzolu
RouterA(config-line)#login
RouterA(config-line)#line vty 0 4
RouterA(config-line)#password vstup   heslo pro vstup telnetem
RouterA(config-line)#login
RouterA(config-line)#exit
RouterA(config)#lin con 0
RouterA(config-line)#logging synchronous   odřádkování asynchronních výstupů
RouterA(config-line)#exit
RouterA(config)#no ip domain-lookup    nehledá DNS překlad v případě špatně zapsaného příkazu, nesnaží se jej přeložit
RouterA(config)#interface fastEthernet 0/0
RouterA(config-if)#ip address 192.168.1.1 255.255.255.0   nastavení IP adres na rozhraní
RouterA(config-if)#no shutdown
RouterA(config-if)#interface serial 0/0
RouterA(config-if)#ip address 10.0.0.1 255.255.255.0
RouterA(config-if)#clock rate 56000
RouterA(config-if)#no shutdown
*Mar 1 00:13:15.880: %LINK-3-UPDOWN: Interface Serial0/0, changed state to up
*Mar 1 00:13:16.882: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to up
RouterA(config-if)#exit
RouterA(config)#ip route 192.168.2.0 255.255.255.0 serial 0/0   statická cesta do vzdálené sítě
RouterA(config)#exit
RouterA#copy running-config startup-config   uložení konfigurace do NVRAM
Destination filename [startup-config]?
Building configuration...
[OK]
RouterA#show running-config    výpis aktuální konfigurace
Building configuration...

Current configuration : 664 bytes
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname RouterA
enable secret 5 $1$dWxF$IRC2rJ2qNLAI0//NLmlE7/
ip subnet-zero
no ip domain lookup
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
speed auto
!
interface Serial0/0
ip address 10.0.0.1 255.255.255.0
no fair-queue
clockrate 56000
!
interface Serial0/1
no ip address
shutdown
!
ip classless
ip route 192.168.2.0 255.255.255.0 Serial0/0
no ip http server
!
line con 0
password class
logging synchronous
login
line aux 0
line vty 0 4
password vstup
login
!
no scheduler allocate
end
RouterA#show ip route   výpis routovací tabulky
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
10.0.0.0/24 is subnetted, 1 subnets
C 10.0.0.0 is directly connected, Serial0/0
S 192.168.2.0/24 is directly connect

Konfigurace na routeru B…

Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname RouterB
RouterB(config)#no ip domain lookup
RouterB(config)#^Z
RouterB#show version
Cisco Internetwork Operating System Software
IOS (tm) C1700 Software (C1700-Y-M), Version 12.2(11)T11, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2004 by cisco Systems, Inc.
Compiled Wed 14-Apr-04 16:57 by hqluong
Image text-base: 0x80008124, data-base: 0x807E50F4

ROM: System Bootstrap, Version 12.2(7r)XM2, RELEASE SOFTWARE (fc1)
ROM: C1700 Software (C1700-Y-M), Version 12.2(11)T11, RELEASE SOFTWARE (fc1)

RouterB uptime is 14 minutes
System returned to ROM by reload
System image file is "flash:c1700-y-mz.122-11.T11.bin"

cisco 1760 (MPC860P) processor (revision 0x500) with 58983K/6553K bytes of memory.
Processor board ID FOC085013A9 (743278990), with hardware revision 0000
MPC860P processor: part number 5, mask 2
Bridging software.
X.25 software, Version 3.0.0.
1 FastEthernet/IEEE 802.3 interface(s)
2 Low-speed serial(sync/async) network interface(s)
32K bytes of non-volatile configuration memory.
32768K bytes of processor board System flash (Read/Write)
Configuration register is 0x2102

RouterB#conf t
Enter configuration commands, one per line. End with CNTL/Z.
RouterB(config)#interface fastEthernet 0/0
RouterB(config-if)#ip address 192.168.2.1 255.255.255.0
RouterB(config-if)#no shutdown
RouterB(config-if)#exit
RouterB(config)#line con 0
RouterB(config-line)#logging synchronous
RouterB(config-line)#exit
RouterB(config)#interface serial 0/0
RouterB(config-if)#ip address 10.0.0.2 255.255.255.0
RouterB(config-if)#no shutdown
RouterB(config-if)#exit
RouterB(config)#enable secret cisco
RouterB(config)#line con 0
RouterB(config-line)#password class
RouterB(config-line)#login
RouterB(config-line)#exit
RouterB(config)#line vty 0 4
RouterB(config-line)#password vstup
RouterB(config-line)#login
RouterB(config-line)#exit
RouterB(config)#ip route 192.168.1.0 255.255.255.0 serial 0/0
RouterB(config)#exit

RouterB#show running-config
Building configuration...
Current configuration : 632 bytes
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname RouterB
enable secret 5 $1$f/3P$dNUeMm2XPCPmsdKj16fzg1
ip subnet-zero
no ip domain lookup
interface FastEthernet0/0
ip address 192.168.2.1 255.255.255.0
speed auto
interface Serial0/0
ip address 10.0.0.2 255.255.255.0
interface Serial0/1
no ip address
shutdown
ip classless
ip route 192.168.1.0 255.255.255.0 Serial0/0
no ip http server
line con 0
password class
logging synchronous
login
line aux 0
line vty 0 4
password vstup
login
no scheduler allocate
end

RouterB#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

10.0.0.0/24 is subnetted, 1 subnets
C 10.0.0.0 is directly connected, Serial0/0
S 192.168.1.0/24 is directly connected, Serial0/0

Vyzkoušení spojení mezi routery…

RouterB#ping 10.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms

Ověření spojení mezi počítačem 192.168.1.2 a routerem A…

Příkaz PING na 192.168.1.1 s délkou 32 bajtů:
Odpověď od 192.168.1.1: bajty=32 čas < 1ms TTL=255
Odpověď od 192.168.1.1: bajty=32 čas < 1ms TTL=255
Odpověď od 192.168.1.1: bajty=32 čas < 1ms TTL=255
Odpověď od 192.168.1.1: bajty=32 čas < 1ms TTL=255

Statistika ping pro 192.168.1.1:
Pakety: Odeslané = 4, Přijaté = 4, Ztracené = 0 (ztráta 0%),
Přibližná doba do přijetí odezvy v milisekundách:
Minimum = 0ms, Maximum = 0ms, Průměr = 0ms

Ověření spojení mezi počítačem 192.168.1.2 a vzdáleným routerem…

Příkaz PING na 10.0.0.2 s délkou 32 bajt…:
Odpověď od 10.0.0.2: bajty=32 čas=20ms TTL=254
Odpověď od 10.0.0.2: bajty=32 čas=20ms TTL=254
Odpověď od 10.0.0.2: bajty=32 čas=20ms TTL=254
Odpověď od 10.0.0.2: bajty=32 čas=20ms TTL=254
Statistika ping pro 10.0.0.2:
Pakety: Odeslané = 4, Přijaté = 4, Ztracené = 0 (ztráta 0%),
Přibližná doba do přijetí odezvy v milisekundách:
Minimum = 20ms, Maximum = 20ms, Průměr = 20ms

Obdobně vyzkoušejte spojení z druhého počítače - 192.168.2.2 na blízký i vzdálený router a z routeru na blízký i vzdálený počítač.
Nakonec vyzkoušejte spojení z počítače na počítač.

Nastavení access listu pro filtrování telnetu…

RouterA#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)#access-list 10 permit host 192.168.1.2
RouterA(config)#line vty 0 4
RouterA(config-line)#access-class 10 in
RouterA(config-line)#exit
RouterA(config)#exit

Ověření spojení telnetem z routeru B…

RouterB#telnet routerA
Trying routerA (10.0.0.1)...
% Connection refused by remote host
Trying routerA (255.255.255.0)...
% Invalid host address

Ověření spojení telnetem z počítače 192.168.1.2…

9.2 Cvičení

Vyzkoušejte funkci access listu v případě povolování přístupu přes webové rozhraní.
Aby bylo možno se přes internetový prohlížeč připojit na router, je nutné v globálním konfiguračním módu toto nastavit příkazem "ip http server".
Zajistěte, aby na router A mohl přes www jen počítač 192.168.1.2 a žádný jiný. Ostatní provoz povolte.
Access list nastavte na obě rozhraní routeru A (FA0/0 i S0/0). Z počítače 192.168.1.2 lze přistupovat přes webové rozhraní k oběma rozhraním routeru, toto zohledněte při vytváření access listu.

Zápis access listu by mohl vypadat např. takto:

RouterA#show access-lists
Extended IP access list 101
permit tcp host 192.168.1.2 host 192.168.1.1 eq www
permit tcp host 192.168.1.2 host 10.1.1.1 eq www
deny tcp any host 192.168.1.1 eq www
deny tcp any host 10.1.1.1 eq www
permit ip any any

Domácí úkol

Připomeňte si, jak se konfiguruje dynamické směrování pomocí protokolu RIP, jakou používá metriku, jaké má vlastnosti.
Připomeňte si, na jakou hodnotu a jak se musí nastavit registry na routeru, aby při startování ignoroval nastavení konfiguračního souboru a tím například bylo možno obejít neznámé heslo.
Připomeňte si, jakým způsobem lze zálohovat konfigurační soubor, případně image routeru.
Připomeňte si, jakým způsobem lze obnovit router, na kterém byl smazán jeho image.

Shrnutí

umíte na routeru nastavit jméno, hesla
umíte nastavit IP adresy rozhraním routeru
umíte povolit HTTP server na routeru
umíte sestavit access list pro zadanou úlohu
umíte nastavit statickou cestu do vzdálené sítě
umíte si zobrazit výpis routovací tabulky, aktuální konfigurace routeru apod.