KONFIGUROWANIE URZĄDZEŃ SIECIOWYCH

Konfiguracja przełącznika CISCO – podstawowe polecenia konsoli zarządzania

Firma CISCO jest wiodącym producentem urządzeń sieciowych, w tym również przełączników (ang. switch). W tym wpisie przedstawię podstawowe polecenie konsoli zarządzania przełącznikiem CISCO oraz pokażę wynik działania poszczególnych poleceń.
Zanim przejdę do omówienia poszczególnych poleceń, zacznę od opisu poziomów dostępu do poleceń konfiguracji przełącznika. W urządzeniach firmy CISCO wyróżniamy dwa takie poziomy:

  • tryb podstawowy (User EXEC) – w konsoli oznaczony jako Switch>, uniemożliwiający dokonywanie zmian w konfiguracji urządzenia, pozwalający natomiast na np. wyświetlanie informacji o bieżącej konfiguracji, jest on domyślnie uruchamiany przy wejściu do konsoli zarządzania,
  • tryb uprzywilejowany (Privileged EXEC)- w konsoli oznaczony jako Switch#, umożliwiający dokonywanie zmian w konfiguracji, przejście do tego trybu z User EXEC odbywa się po wpisaniu polecenia enable.
Z trybu uprzywilejowanego (Privileged EXEC) mamy możliwość dokonywania zmian w konfiguracji:

  • globalnej – w konsoli oznaczony jako Switch(config)#, pozwalający na np. zmianę nazwy systemowej, określanie haseł dostępu czy tworzenie sieci VLAN, przejście do tego trybu z Privileged EXEC odbywa się po wpisaniu polecenia configure terminal,
  • szczególowej – w konsoli oznaczony jako Switch(config-%nazwa%)#, pozwalający na dokonywanie wszelkich innych zmian konfiguracyjnych, takich jak: konfiguracja interfejsów sieciowych, określanie trybu pracy poszczególnych portów czy zabezpieczenia ich przed niepowołanym dostępem, przejście do tego trybu z konfiguracji globalnej odbywa się po wpisaniu polecenia odpowiadającego konkretnym ustawieniom, i tak przykładowo, jeśli chcemy dokonać zmian w konfiguracji pierwszego interfejsu Ethernet  wpisujemy interface fastEthernet 0/1, wówczas tryb w konsoli oznaczony będzie jako Switch(config-if)#
Kiedy chcemy opuść dany tryb konfiguracji, np. chcemy wrócić z trybu konfiguracji szczegółowej do globalnej wystarczy, że wprowadzimy polecenie exitnatomiast kiedy chcemy przejść bezpośrednio do trybu uprzywilejowanego, bez wzgledu na to, w kótrym trybie się znajdujemy wprowadzamy poleceni end.
Podczas pracy w konsoli zarządzania bardzo przydatne są dwie funkcję:

  • dopełnienie – wystarczy wpisać początek polecenia, np: en i nacisnąć klawisz TAB na klawiaturze, a system dopełni nam poleceni do enable,
  • podpowiedzi – kiedy nie jesteśmy pewni składni polecenie możemy wpisać znak zapytania (?), a system wyświetl nam dostępne dla danego trybu polecenia.
Przedstawię teraz klika podstawowych poleceni konsoli służących do zarządzania przełącznikiem CISCO

  • Wyświetlenie tablicy ARP:
      • Switch>show arp
  • Wyświetlenie bieżącej konfiguracji interfejsów przełącznika:
      • Switch>show interfaces
  • Wyświetlenie tablicy MAC:
      • Switch>show mac-address-table
  • Wyświetlenie istniejących sieci VLAN:
      • Switch>show vlan
  • Ustawienie hasła przejścia do trybu konfiguracyjnego:
      • Switch>enable
      • Switch#configure terminal
      • Switch#enable secret qwerty //zamiast qwerty można wpisać dowolne hasło
  • Zmiana nazwy systemowej urządzenia:
      • Switch>enable
      • Switch#configure terminal
      • Switch#hostname szkolny //zamiast szkolny można wpisać dowolną nazwę
      • szkolny#   <- od teraz nasz przełącznik będzie wyświetlał nową nazwę
  • Zapisanie zmian konfiguracji:
      • szkolny#copy running-config startup-config i potwierdzamy klawiszem ENTER

 

Konfiguracja przełącznika CISCO – konfiguracja portów do obsługi jednego adresu MAC

W dzisiejszych czasach duży nacisk kładziony jest na bezpieczeństwo systemów informatycznych i sieci komputerowych. Istnieje wiele sposobów zabezpieczenia sieci komputerowych przed niepowołanym dostępem, jedne opierają się na zabezpieczeniach systemów operacyjnych, inne zaś na odpowiedniej konfiguracji sprzętu sieciowego.
W dzisiejszym artykule przedstawię sposób zabezpieczenia fizycznego dostępu do zasobów naszej sieci komputerowej, poprzez takie ustawienia przełącznika CISCO, aby mógł on obsługiwać tylko jeden adres MAC (przełączniki na podstawie tego parametru przesyłają dane w sieci -przyp.), każdorazowe podłączenie urządzenia z innym adresem fizycznym niż ten zapisane w konfiguracji, spowoduje zablokowanie portu i uniemożliwi korzystanie z sieci. Uzasadnienie takiego sposobu zabezpieczenia jest proste, mianowicie uniemożliwi na korzystanie z naszej sieci urządzeniom spoza niej.
Zadanie zostanie omówione na przykładzie 3 komputerów podłączonych do przełącznika.
Konfigurację przełącznika powinniśmy zacząć od pozyskania adresów MAC urządzeń, które są do niego podłączone. Najłatwiej jest to zrobić wykonując poprzez wyświetlenie tablicy adresów MAC w konsoli:

  • Switch>enable
  • Switch#show mac-address-table
W wyniku wykonania polecenia zostanie wyświetlona tabela z adresami MAC przypisanym do danego interfejsu:
Vlan      Mac Address        Type     Ports
 1      0001.9666.099c     DYNAMIC    Fa0/1
 1      0060.3ed6.41eb     DYNAMIC    Fa0/2
 1      0060.5c52.b33e     DYNAMIC    Fa0/3
Skoro udało nam się pozyskać już adresy MAC naszym komputerów, możemy przejść teraz do etapu przypisywania ich do konkretnego portu przełącznika:
Z trybu uprzywilejowanego (Switch#) przejdziemy do trybu konfiguracji globalnej (Switch(config)#), a następnie do trybu konfiguracji szczegółowej interfejsu 0/1:

  • Switch#configure terminal
  • Switch(config)#interface fastEthernet 0/1
W tym miejscu wykonamy polecenia, które przypiszą adres MAC pierwszego komputera
do tego interfejsu:

  • Switch(config-if)#switchport mode access
  • Switch(config-if)#switchport port-security
  • Switch(config-if)#switchport port-security maximum 1
  • Switch(config-if)#switchport port-security mac-address 0001.9666.099c
  • Switch(config-if)#exit               //opuszczamy tryb konfiguracji szczegółowej
    dla interfejsu 0/1
Przechodzimy do trybu konfiguracji szczegółowej dla interfejsu fastEthernet 0/2
i przypisujemy adres MAC drugiego komputera:

  • Switch(config)#interface fastEthernet 0/2
  • Switch(config-if)#switchport mode access
  • Switch(config-if)#switchport port-security
  • Switch(config-if)#switchport port-security maximum 1
  • Switch(config-if)#switchport port-security mac-address 0060.3ed6.41eb
  • Switch(config-if)#exit
Następnie przechodzimy do trybu konfiguracji szczegółowej dla interfejsu fastEthernet 0/3
i przypisujemy adres MAC trzeciego komputera:

  • Switch(config)#interface fastEthernet 0/3
  • Switch(config-if)#switchport mode access
  • Switch(config-if)#switchport port-security
  • Switch(config-if)#switchport port-security maximum 1
  • Switch(config-if)#switchport port-security mac-address 0060.5c52.b33e
  • Switch(config-if)#exit
Na koniec powinniśmy wyłączyć pozostałe interfejsy, tak aby do nich nie mógł się wpiąć żaden inny komputer, a następnie zapisać konfigurację urządzenia:

  • Switch(config)#interface range fastEthernet 0/4-24    //przejście do trybu konfiguracji grupy interfejsów od 4 do 24
  • Switch(config-if-range)#shutdown                             //wyłączenie interfejsów
  • Switch(config-if-range)#end
  • Switch#copy running-config startup-config           //zapisanie konfiguracji
Od teraz każdorazowe podłączenie do jednego z 3 portów urządzenia z innym adresem MAC niż ten przypisane spowoduje zablokowanie interfejsu. Aby go odblokować należy
w trybie konfiguracji szczegółowej danego interfejsu wykonać polecenie no shutdown:

  • Switch>enable
  • Switch#configure terminal
  • Switch(config)#interface fastEthernet 0/1
  • Switch(config-if)#no shutdown
Przedstawiony powyżej sposób zabezpieczenia sieci komputerowej jest tylko jednym
z wielu i nie powinien być stosowany jako jedyny. Zawsze należy stosować kilka rodzajów zabezpieczeń, zarówno sprzętowych jak i programowych, aby skutecznie zabezpieczyć naszą się przez nieupoważnionym dostępem.

Konfiguracja przełącznika CISCO – wirtualne sieci LAN (VLAN)

 

Sieć VLAN (ang. Virtual LAN) jest to mechanizm pozwalający administratorom dzielić sieć lokalną na mniejsze logiczne sieci, do których należą komputery znajdujące się w fizycznie różnych lokalizacjach (np. na różnych piętrach).
Wyobraźmy sobie szkolną sieć komputerową, do której dostęp maja trzy grupy użytkowników: administracja, nauczyciele oraz uczniowie. Każda z tych grup ma inne uprawnienia oraz dostęp do różnych zasobów sieci. W jaki sposób zorganizować sieć,
aby dokonać pogrupowania użytkowników w zależności od tych uprawnień czy dostępu
do zasobów? Można podłączyć komputery grupy administracyjnej do jednego przełącznika, nauczycielskiej do drugiego, uczniowskiej do trzeciego. Proste, prawda? Tak, pod warunkiem, że na danym piętrze znajdują się tylko komputery jednej grupy, np. na parterze (gdzie znajduje się pierwszy przełącznik) znajdują się tylko komputery administracji,
na I piętrze (gdzie znajduje się drugi przełącznik) są tylko komputery nauczycielskie,
a na II piętrze (gdzie znajduje się trzeci przełącznik) znajdują się tylko komputery uczniowskie. Niestety, z taką sytuacją prawie nigdy się nie spotkamy, ponieważ zazwyczaj jest tak, że na danym piętrze występują użytkownicy należący do różnych grup,
a ich komputery podłączone są do tego samego przełącznika. Wówczas zastosować możemy podział sieci lokalnej na mniejsze, logiczne obszary (sieci VLAN).
Poniższy rysunek obrazuje nam sytuację, o której mówiłem, a mianowicie sieć, w której mamy 3 grupy użytkowników, których komputery podłączone są do różnych przełączników.
vlan
Jak widać, na każdym piętrze, do tych samych przełączników podłączone są komputery różnych grup użytkowników (pracownie to komputery uczniowskie, sale to komputery nauczycielskie, a pozostałe to komputery administracji). W takiej sytuacji, aby pogrupować komputery zastosujemy opisany wyżej sposób, czyli stworzymy wirtualne sieci LAN. Wówczas, logiczny podział takiej sieci wyglądał będzie następująco:
vlan1
Schemat takiego podziału będzie przedstawiał się następująco:
  1. Komputery w pracowniach należeć będą do sieci VLAN o nazwie uczniowie
  2. Komputery w salach należeć będą do sieci VLAN o nazwie nauczyciele
  3. Komputery pracowników administracji należeć będą do sieci VLAN o nazwie administracja.
Tyle teorii… Przejdźmy teraz do konfiguracji urządzeń.
Zanim jednak to zrobimy powinniśmy nadać sieciom wirtualnym identyfikator i zaprojektować dla nich adresację IP. Aby zadania dodatkowo nie komplikować, proponuje przyjąć następujące zasady:
  1. VLAN uczniowie będzie miał przypisany identyfikator 10 (może być inny z zakresu 2-1001, nie ma większego znaczenie jaki Wy wybierzecie), a adres IP dla tej sieci VLAN będzie miał postać: 192.168.10.0/24.
  2. VLAN nauczyciele będzie miał przypisany identyfikator 20, zatem adres IP dla tej sieci VLAN będzie miał postać: 192.168.20.0/24.
  3. VLAN administracja będzie miał przypisany identyfikator 30, zatem adres IP dla tej sieci VLAN będzie miał postać: 192.168.30.0/24.
Zwrócicie uwagę na to że identyfikator każdej z sieci VLAN jest taki sam jak 3 oktet adresu IP. Jest to z mojej strony zabieg celowy ponieważ łatwiej jest wówczas identyfikować urządzenia należące do danej sieci. Pamiętajcie jednak o tym, że nie jest to warunek konieczny, i że podczas wykonywania późniejszych ćwiczeń możecie zastosować inne oznaczenia i adresację.
Skoro mamy już zaprojektowaną adresację IP, przejdźmy teraz do konfiguracji pierwszego przełącznika.

 

 

 

 

Subskrybuj: Posty (Atom)