2013 Cisco i/sau membrii si.Toate drepturile sunt rezervate.Acest document face parte din informaia public Cisco.Pagina 1 din 1
Laborator - Accesarea Dispozitivelor de Reea cu SSH
Topologie
Tabela de Adresare
Echipame
nt Interfa Adres IP
Masc de
subreea Default Gateway
R1 G0/1 192.168.1.1 255.255.255.0 N/A
S1 VLAN 1 192.168.1.11 255.255.255.0 192.168.1.1
PC-A Plac de reea 192.168.1.3 255.255.255.0 192.168.1.1
Obiective
Partea 1: Configurai Setrile de Baz ale Dispozitivului
Partea 2: Configurai routerul pentru accesul SSH
Examinai o Sesiune Telnet cu Wireshark
Examinai o Sesiune SSH cu Wireshark
Partea 5: Configurai Switchul pentru Acces SSH
SSH din CLI pe Switch
Condiii/Scenariu
n trecut, Telnet era protocolul de reea cel mai frecvent utilizat pentru configurarea de la distan a echipamentelor de reea.n orice caz, protocoalele precum Telnet nu autentific sau cripteaz informaia dintre client i server.Acest lucru permite unui sniffer de reea s intercepteze parolele i informaiile de configurare.
Secure Shell (SSH) este un protocol de reea care stabilete o conexiune sigur de emulare a terminalului la un router sau la un alt echipament de reea.SSH cripteaz toate informaiile care trec prin link-ul de reea i asigur autentificarea calculatorului remote.SSH nlocuiete rapid Telnet ca fiind un instrument de autentificare remote ales de profesionitii din domeniul reelisticii.SSH este utilizat mai des pentru autentificarea la un echipament remote i pentru a executa comenzi; n orice caz, poate transfera i fiiere folosind protocoalele Secure FTP (SFTP) sau Secure Copy (SCP).
Pentru ca SSH s funcioneze, echipamentele de reea care comunic trebuie s fie configurate pentru a l suporta.n acest laborator, vei activa serverul SSH pe un router i apoi v vei conecta la router folosind un calculator cu un client SSH instalat.ntr-o reea local, conexiunea este realizat n mod normal folosind Ethernet i IP.
n acest laborator, vei configura un router astfel nct acesta s accepte conectivitatea SSH i vei utiliza Wireshark pentru a captura i vizualiza sesiunile Telnet i SSH.Acest lucru va arta importana criptrii cu SSH.Vei fi provocat i s configurai un switch pentru conectivitatea SSH.
Laborator - Accesarea Echipamentelor de Reea cu SSH
2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Page 2 of 12
Not: Router-ele folosite la laboratoarele practice de CCNA sunt: Cisco 1941 Integrated Services Routers (ISR-uri)i Cisco IOS Release 15.2(4)M3 (universalk9 image).Switch-urile folosite sunt Cisco Catalyst 2960 cu Cisco IOS Release 15.0(2) (lanbasek9 image).Pot fi folosite i alte router-e, switch-uri i versiuni IOS.n funcie de model i de versiunea Cisco IOS, comenzile disponibile i rezultatele produse pot fi diferite fa de cele artate la laboratoare.Pentru a vizualiza identificatorii coreci ai interfeei, putei consulta Tabelul cu Interfeele Routerelor de la sfritul laboratorului.
Not: Asigurai-v c routerele i switchurile au fost terse i c nu au configuraii de pornire.Dac nu suntei sigur, contactai-v instructorul.
Nota Instructorului: Facei referire la Manualul Laboratoarelor Instructorului pentru procedurile de iniializare i rencrcare ale dispozitivelor.
Resurse necesare
1 Router (Cisco 1941 cu software Cisco IOS , Release 15.2(4)M3 imagine universal sau comparabil)
1 Switch (Cisco 2960 cu Cisco IOS Release 15.0(2) imagine lanbasek9 sau comparabil)
1 Calculator (Windows 7, Vista sau XP cu program de emulare a terminalului, cum ar fi Tera Term i
Wireshark)
Cabluri de consol pentru a configura echipamentele Cisco IOS prin intermediul porturilor de consol
Cabluri Ethernet aa cum se arat n topologie
Partea 1: Configurai Setrile de Baz ale Dispozitivului
n Partea 1, vei configura topologia reelei i setrile de baz, precum adresele IP ale interfeei, accesul la dispozitive i parolele de pe router.
Pasul 1: Cablai reeaua aa cum se arat n topologie.
Pasul 2: Iniializai i rencrcai routerul i switchul.
Pasul 3: Configurai routerul.
a. Ataai cablul de consol la router i activai modul privilegiat EXEC.
b. Introducei modul de configurare.
c. Pentru ca routerul s nu ncerce s traduc incorect comenzile introduse deoarece acestea erau hostname-uri, dezactivai DNS lookup.
d. Folosii class ca parol pentru modul EXEC privilegiat.
e. Folosii cisco pentru parola consolei i activai autentificarea.
f. Folosii cisco pentru parola vty i activai autentificarea.
g. Criptai toate parolele cu text n clar.
h. Creai un banner care avertizeaz pe oricine care ncearc s acceseze dispozitivul pentru care accesul neautorizat este interzis.
i. Configurai i activai interfaa G0/1 pe router folosind informaia coninut n Tabela de Adresare.
j. Salvai configurarea curent n fiierul de configurare iniial.
Pasul 4: Configurai PC-A.
a. Configurai PC-A cu o adres IP i o masc de subreea.
Laborator - Accesarea Echipamentelor de Reea cu SSH
2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Page 3 of 12
b. Configurai un gateway default pentru PC-A.
Pasul 5: Verificai conectivitatea reelei.
Dai ping la R1 de pe PC-A. Dac ping-ul nu se realizeaz cu succes, depaani conexiunea.
Partea 2: Configurai Routerul pentru Acces SSH
Folosind Telnet pentru a v conecta la un echipament de reea este un risc de securitate, deoarece toat informaia este transmis ntr-un format cu text n clar.SSH cripteaz datele sesiunii i asigur autentificarea la echipament, de aceea SSH este recomandat pentru conexiunile remote.n Partea 2, vei configura routerul astfel nct s accepte conexiuni SSH prin liniile VTY.
Pasul 1: Configurai autentificarea la echipament.
Domeniul i numele echipamentului sunt utilizate ca parte din crypto key atunci cnd este generat.Aadar, aceste nume trebuie introduse anterior lansrii comenzii crypto key.
c. Configurai numele echipamentului.
Router(config)# hostname R1
d. Configurai domeniul pentru echipament.
R1(config)# ip domain-name ccna-lab.com
Pasul 2: Configurai metoda cheii de criptate.
R1(config)# crypto key generate rsa modulus 1024
Numele cheilor va fi: R1.ccna-lab.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)
R1(config)#
*Jan 28 21:09:29.867: %SSH-5-ENABLED: SSH 1.99 has been enabled
Pasul 3: Configurai un nume de utilizator pentru baza de date local.
R1(config)# username admin privilege 15 secret adminpass
R1(config)#
*Feb 6 23:24:43.971: End->Password:QHjxdsVkjtoP7VxKIcPsLdTiMIvyLkyjT1HbmYxZigc
R1(config)#
Not: Un nivel de privilegiu de 5 d utilizatorului drepturi de administrator.
Pasul 4: Activai SSH pe liniile VTY.
a. Activai SSH i Telnet pe liniile VTY de inbound folosind comanda transport input.
R1(config)# line vty 0 4
R1(config-line)# transport input telnet ssh
b. Modificai metoda de autentificare pentru a utiliza baza de date local pentru verificarea utilizatorului.
R1(config-line)# login local
R1(config-line)# end
Laborator - Accesarea Echipamentelor de Reea cu SSH
2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Page 4 of 12
R1#
Pasul 5: Salvai configurarea curent n fiierul de configurare iniial.
R1# copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
R1#
Partea 3: Examinai o Sesiune Telnet cu Wireshark
n Partea 3, vei utiliza Wireshark pentru a captura i vizualiza datele transmise ale unei sesiuni Telnet pe router.Vei utiliza Tera Term pentru telnet la R1, v autentificai, iar apoi lansai comanda show run pe router.
Not: n cazul n care un pachet software de client Telnet/SSH nu este instalat pe alculatorul dumneavoastr, trebuie s instalai unul nainte de a continua.Dou pachete uzuale i freeware sunt Tera Term (http://download.cnet.com/Tera-Term/3000-20432_4-75766675.html) i PuTTy (www.putty.org).
Pasul 1: Deschidei Wireshark i ncepei capturarea datelor pe interfaa LAN.
Not: Dac nu putei porni capturarea pe interfaa LAN, este posibil s avei nevoie s deschidei Wireshark folosind opiunea Run as Administrator.
Pasul 2: Pornii o sesiune Telnet la router.
a. Deschidei Tera Term i selectai butonul Telnet Service, iar n cmpul Host, introducei 192.168.1.1.
Care este portul TCP implicit pentur sesiunile Telnet? _________________ Port 23
b. n ecranul Username:, introducei admin iar n ecranul Password:, introducei adminpass.Aceste prompt-uri sunt generate deoarece ai configurat liniile VTY pentru a utiliza baza de date local cu comanda login local.
http://download.cnet.com/Tera-Term/3000-20432_4-75766675.htmlfile:///D:/ITN/Suppl_Ro/en_ITN_Instructor-Lab_Source/www.putty.org
Laborator - Accesarea Echipamentelor de Reea cu SSH
2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Page 5 of 12
c. Lansai comanda show run.
R1# show run
d. Introducei exit pentru a iei din sesiunea Telnet i din Tera Term.
R1# exit
Pasul 3: Oprii captura Wireshark.
Pasul 4: Aplicai un filtru Telnet pe datele capturate cu Wireshark.
Pasul 5: Folosii opiunea Follow TCP Stream n Wireshark pentru a vizualiza sesiunea Telnet.
a. Dai clic dreapta pe una din liniile Telenet din seciunea Packet List din Wir
