Router, switch alapbeállítások
Alapok:
Router>
Router>en
(enable) belépés privilegizációs módba
Router#
Router#conf t belépés
globális konfigurációs módba
Router(config)#exit kilépés
globális konfigból
DNS keresés vagy bármely más folyamat megszakítása: Ctrl+Shift+6
1, Dns keresés leállítása:
Router(config)#no ip domain-lookup
2, Banner
készítése:
Router(config)#banner motd
# A megjeleníteni kívánt szöveg (ékezet nélkül) #
3, Privilegizációs mód lejelszavazása:
Router(config)#enable password
jelszo
Router(config)#service password-encryption titkosítja a jelszót
4, Console port lejelszavazása:
Router(config)#line console
0 (ezzel a vonal configba belépünk)
Router(config-line)#password
kelkaposztafozelek
Router(config-line)#login
ha nincs ki adva nem kér jelszót, ha ki van adva, de nincs
jelszó, nem lehet belépni
Router(config-line)#logging synchronous ha a router
üzenetet küld nekünk, vissza kapjuk sort
5, Virtuális vonalon
telnet beállítása:
Router(config)#line vty 0 15
Router(config-line)# password jelszó
Router(config-line)#login
ha nincs kiadva nem kér jelszót, ha ki van adva, de nincs
jelszó, nem lehet belépni
Router(config-line)#logging
synchronous
Persze valamelyik interface-nek
adni kell ip címet, hogy elérjük az eszközt telnettel.
6, Interface beállítás, leírás megadása:
Router(config)#int f0/0 (az inaktívat
teljesen felesleges konfigurálni)
Router(config-if)#description (leírás
hogy merre néz a port)
Router(config-if)#ip address 192.168.0.1
255.255.255.0
Ha alinterfész azaz SUBinterface-re van
szükségünk mert van 3 hálózatunk (vlan 71, vlan72 és vlan 73):
Router(config)#int
g0/1
Router(config-if)#no shutdown
Elindítjuk a portot
Router(config-if)#int g0/1.71 Belépünk a porthoz tartozó
tetszőlegesen létrehozott alinterfészünkbe
Router(config-subif)#encapsulation dot1Q 71
Itt éppen a Vlan 10-hez
tartozó azonosító számot állítottuk be
Router(config-subif)#ip address 192.168.71.1
255.255.255.0 Most
már kaphat IP-t, az alinterfész.
Router(config-subif)#int g0/1.72
Router(config-subif)#encapsulation dot1Q
72
Router(config-subif)#ip address 192.168.72.1 255.255.255.0
Router(config-subif)#int g0/1.73
Router(config-subif)#encapsulation dot1Q
73
Router(config-subif)#ip address 192.168.73.1 255.255.255.0
Természetesen a Switch
routerhez kötött portjára ha nem állítunk Trunk módot nem fog működni.
Vlanok + Trunk beállítása a Switchen:
Switch(config)#int r f0/1-2
Switch(config-if-range)#switchport mode access A felhasználó így nem tudja
piszkálni a portot.
Switch(config-if-range)#switchport access vlan 71 Hozzárendeltük a portot
a Vlan71-hez
% Access VLAN does not exist. Creating vlan 71 (Itt magától létrehozza a vlan 71-et a switch)
Switch(config-if-range)#int r f0/3-4
Switch(config-if-range)#switchport access vlan 72
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#int r f0/5-6
Switch(config-if-range)#switchport access vlan 73
Switch(config-if-range)#int g0/1 Ez a port kapcsolódik a routerhez, hogy át
tudjuk engedni ezen a porton az összes vlan keretet Trunk módot kell
beállítani
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk native vlan
99 Ez a parancs csak akkor kell ha van natív vlan.
7, Ssh beállítása: - előfeltételek: 1, host név megadása: - hostname név
2, ip domain név
megadása: - ip domai-name
név
- titkos kulcs
készítése: - crypto key generate rsa
- 1024
Telnet és ssh egyszerre
értelmetlen.
- Felhasználó név, kód megadása: - username Név privilege 15 secret jelszó
-
vonal konfigurálása: - line vty 0 15
- transport
input ssh
- privilage level 15
- login local
- logging synchronous
- ssh
időbeállítás: ip ssh time-out <1-120 secs>
8, switch konfigurálása:
Tök
ugyanazok a parancsok mint idáig kiegészítve a default gateway-jel:
Switch>en
Switch#conf
Switch(config)#ip
default-gateway 192.168.0.1 (Ez a router címe,
azaz errefelé küldjük a csomagokat amik nem a mi
hálózatunkba vannak címezve)
9 IPv6
beállítás:
Router(config)#ipv6
unicast-routing Szórjuk az ipv6-os előtagot, hogy a gépek meg tudják csinálni
maguknak az IPv6-os címet
Router(config)#int
f0/1
Router(config-if)#ipv6 enable
Engedélyezzük az
IPv6-ot
Router(config-if)#ipv6 address
2001:8db:acad:A::1/64 IPv6-os cím megaáda „A” alhálózati
címmel és „1” interfészcímmel
10 Router RIP
Router>en
Router#conf t
Router(config)#router
rip Belépünk a RIP konfigba
Router(config-router)#version 2 A RIP 2. verzióját használjuk
Router(config-router)#network 172.16.0.0 Megadjuk az összes hálózati címet, amit lát a
router és hirdethet a többi routernek!
Router(config-router)#network 172.16.100.0
Router(config-router)#network 10.0.0.0
Router(config-router)#no auto-summary Külön kezeli az
azonos címosztályba eső címeket
Router(config-router)#passive-interface g0/1 Nem küldünk RIP infót belső hálóra mert ott
nincs már több router, így nem növeljük a hálózati forgalmat.
Router(config-router)#redistribute static Azon a routeren állítjuk be ahol van statikus útvonal (ip route), ezt az útvonalat
hirdeti a többi routernek.
11. Statikus útvonal készítése:
Default azaz alapértelmezett útvonal:
IP ROUTE 0.0.0.0 0.0.0.0 f0/0 (Megadunk egy interfészt
ami kifelé vezet)
IP ROUTE 0.0.0.0 0.0.0.0 10.0.0.1 (Megadjuk a szomszéd router IP-jét)
IP ROUTE 172.16.0.0 255.255.255.0
f0/0 (Egy adott hálózatba bejutás az
f0/0-n keresztül!)
12. Antenna konfiguráció:
Router(config)#dot11
ssid halozat Beállítjuk az antennához az SSID-t
Router(config-ssid)#authentication open Hitelesítést
engedélyezzük
Router(config-ssid)#authentication key-management wpa Hitelesítést beállítjuk wpa-ra
Router(config-ssid)#wpa ascii krumplileves megadjuk
a kódot az SSID-hez
Router(config-ssid)#guest-mode Beállítjuk, hogy szórja az SSID-t
Router(config-ssid)#exit
Router(config)#int
dot11Radio 0/0/0 az antennát beállítjuk
a 0-s végű 2,4 GHz-es az 1-es végű 5GHz-es
Router(config-if)#ssid halozat
hozzárendeljük az antennához az előbb
beállított SSID-t
Router(config-if)#encryption mode ciphers aes-ccm
beállítjuk a titkosítást!
Router(config-if)#ip address
192.168.200.1 255.255.255.0
Router(config-if)#no shu
13. IPv6 beállítás + RIPng
Router 0 beállításai:
Router(config)#
Router(config)#int
s0/0/0
Router(config-if)#clock rate 1000000
Router(config-if)#no shu
Router(config-if)#ipv6 enable
Router(config-if)#ipv6 address
2001:6666:abcd::2/64 Az előre megadott címet oda adjuk
Router(config-if)#int g0/1
Router(config-if)#ipv6 enable
Router(config-if)#ipv6 address
2001:8db:acad:a::1/64
Router(config-if)# no shu
Router(config-if)#exit
Router(config)#
Router(config)#ipv6
unicast-routing Ez azért kell
mert ezzel kapja meg a hálózat prefixet a PC, amiből aztán a saját IPv6 címét
létrehozza
Router(config)#int
s0/0/0
Router(config-if)#ipv6 rip
alma enable alma egy
bármilyen folyamatazonosító
Router(config-if)#int g0/1
Router(config-if)#ipv6 rip
alma enable
Router(config-if)#exit
Ha statikus IPv6 címzés kell nem RIPng:
Router(config)#ipv6
route 2001:8db:acad:b::/64
s0/0/0
Router(config)#ipv6
route 2001:8db:acad:b::/64
2001:6666:abcd::1
Router 1 konfigja:
Router(config)#int
s0/0/0
Router(config-if)#no shu
Router(config-if)#ipv6 enable
Router(config-if)#ipv6 address
2001:6666:abcd::1/64
Router(config-if)#int g0/1
Router(config-if)#no shu
Router(config-if)#ipv6 enable
Router(config-if)#ipv6 address
2001:8db:acad:b::1/64
Router(config-if)#exit
Router(config)#ipv6
unicast-routing
Router(config)#int
s0/0/0
Router(config-if)#ipv6 rip
alma enable
Router(config-if)#int g0/1
Router(config-if)#ipv6 rip
alma enable
Router(config-if)#exit
Router(config)#exit
Ha nem RIPng a cél hanem
statikus akkor:
Router(config)#ipv6
route 2001:8db:acad:a::/64
s0/0/0
Router(config)#ipv6
route 2001:8db:acad:a::/64
2001:6666:abcd::2
15. VTP és DTP
A VTP lényege, hogy ne kelljen
mindegyik Switchbe ugyanazokat a VLAN-okat létrehozni, az egyik lesz a Server a többi pedig a
kliens, mindegyik alapbeállítása a szerver!
Switch(config)#vtp
domain dolog tetszőleges azonosítót adunk, de a „dolog” lesz mindegyik switch azonosítója.
Switch(config)#vtp
mode client/server amelyiken
létrehozzuk a vlan-t az a Server az összes többi ami másolja a VLAN-okat
pedig mind Client lesz.
Switch(config)#vtp
password 12345 Nem kötelező megadni de ha a
szerveren ezt megadjuk meg kell adni az összes kliensen is különben nem
másolják le a VLAN-okat.
Ha esetleg mégse működne, akkor
ellenőrizni kell, hogy van-e TRUNK kapcsolat a Switchek
között!
DTP lényege, hogy automatikusan át
áll Trunk-be vagy Accesbe
egy Switch ha a hozzá kötött másik Switch ezt kezdeményezi (azaz átállítjuk az adott portot).
Módjai: Dinamyc
Desirable és Dinamyc Auto. Auto módban figyel, jön-e
másik Switch felől parancs, Desirable
módban pedig tud kezdeményezni a másik felé átállást.
Kikapcsolása:
Switch(config-if)#int f0/24
Switch(config-if)#switchport mode access először kivesszük auto
módból mivel alapból abban van.
Switch(config-if)#switchport mode trunk Trunk módba állítjuk ha
szükséges
Switch(config-if)#switchport nonegotiate Innentől fogva nem figyeli a másik Switch
utasításait ami Access vagy Trunk módba való lépést
kezdeményezne. Ezt mindenhol érdemes kiadni a biztonsági kockázat miatt.
A Switch nem használt portjait mindig leállítjuk!
DHCP szerver létrehozásához, be kell lépni a globális configba:
Cisco_1812(config)#ip dhcp excluded-address 192.168.100.1 192.168.100.99 Kizárunk néhány címet, ezeket nem fogja kiosztani a router
Cisco_1812(config)#ip dhcp pool HALOZAT Elnevezzük a tartományt HALOZATNAK, amiből kiosztjuk a címeket
Cisco_1812(dhcp-config)#network 192.168.100.0 255.255.255.0 A tartomány hálózati címét megadjuk
Cisco_1812(dhcp-config)#default-router 192.168.100.1 Megadjuk az alapértelmezett átjárót illetve ezen keresztül történik majd a címek kiosztása
Cisco_1812(dhcp-config)#dns 8.8.8.8 Egy DNS szerver címét is megadjuk, ez éppen a Google-é
DHCP Snooping
Hogyan mondhatjuk meg ki az igazi DHCP szerver a hálózatunkban?
Switch beállítása:
Globális konfigba:
ip dhcp snooping bekapcsoljuk
ip dhcp snooping vlan 1 megmondjuk melyik vlan-ba
történik a DHCP osztás
no ip dhcp snooping
information option
Ha router DHCP-zik
ki tudja osztani az ip-ket mert nem ismeri az Option 82-t azaz a külön portazonosítást.
Interface konfigba,
itt az ASA0 a DHCP szerver is, ő a G0/1-en van:
Int g0/1
ip dhcp snooping trust a port fel van véve mostantól a
biztonságosak közé így PC6-tól nem továbbítunk DHCP OFFER-eket.
DHCP Relay
NAT
Védett hálózaton állítjuk be a NAT-ot mert WRT és a
védett között nincs forgalomirányítás a WRT miatt.
Router(config)#access-list 10 permit 10.0.0.0 0.0.0.255 Hozzáférési lista a belső hálózat IP-ivel.
Router(config)#ip nat inside source list
10 interface f0/0 overload NAT parancs, mindig
inside-ot csinálunk, a forrás itt az előzőleg
megadott access-list 10-es, a kimenő interface pedig az f0/0 lesz és ennek az ip címét veszi fel minden kifelé menő csomag
mint forrást. Overload parancs pedig a PAT azaz port
cím fordítás, enélkül csak egy Host tudna kimenniegy időben, így viszont egy portot
rendel minden csomaghoz, amivel megtudja különböztetni a router a belső
hálózatából érkező csomagok forrásait.
Router(config-if)#ip
nat outside Annak az
interfésznek adjuk ezt a parancsot, amelyik az internet felé néz, mert ezen
jutnak ki a belső hálózatból azaz zsákhálózatból a kérések a net felé, ez itt
az f0/0 mert az overload parancsrész elé is ezt
írtuk.
Router(config-if)#ip
nat inside a zsákhálózatot
kezelő interfész, azaz erre van rákötve a képen lévő switch.
Router(config)#ip
route 0.0.0.0 0.0.0.0 f0/0
Router(config)#ip
route 0.0.0.0 0.0.0.0 192.168.0.1 Egy teljesen
definiált útvonalat hozunk létre, mivel ha a WRT
routeren kívülre akarunk menni, oda már nem ismerünk enélkül útvonalat. A WRT
belső hálózatát elérjük, mivel a védett router rendelkezik onnan IP-vel.
Még egy példa a NAT-ra:
NAT beállítás egy belső
hálózaton.
Van egy routerünk ami a
szolgáltatótóé és az egyik LAN portra ráteszünk egy Routert, hogy külön belső
hálózatot tudjunk kialakítani. Itt rádióval csatlakozik a céges 1 laptop, hiába
kap IP-t nem tud kommunikálni a szolgáltató routerjére csatlakozott
végpontokkal.
1841 konfigja: Szokásos módon adunk a használni kívánt interface-eknek IP címet! Ezután beállítjuk, hogy melyik a külső és melyik a belső.
Router(config)#int dot11Radio
0/1/1 Ez lehet Vlan 1 vagy
F0/1
Router(config-if)#ip
nat inside Ez tartozik a belső
hálózathoz a NAT szempontjából.
Router(config)# int f0/0
Router(config-if)#ip
nat outside Ez tartozik a külső
részhez bár a szolgáltató szempontjából ez is belső.
Router(config)#ip route 0.0.0.0 0.0.0.0
f0/0 Statikus
alapértelmezett útvonal konfiguráció, hogy bármely címet elérje a neten.
Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1 Statikus alapértelmezett útvonal konfiguráció, így lesz teljesen definiált
mert az előbb azt mondtuk meg, hogy melyik interfészen kell kifele küldeni a
csomagot, most azt mondjuk meg neki, hogy kinek kell átküldeni.
Statikus NAT
Router(config)#ip nat inside source static 192.168.200.15 192.168.0.254 Beállítjuk, hogy a belső címet fordítsa le a külső címre. Az első cím lehet pl a Céges1 laptop címe a második az f0/0 azaz a külső cím, amire a laptop címét fordítjuk. Viszont ha 10 gép van a belső hálóban akkor 10 ilyen bejegyzés kell. Ezért jobb a dinamikus…
PAT
Router(config)#access-list 10 permit 192.168.200.0 0.0.0.255 Hozzáférési listát hozunk létre, 10-es azonosítóval. Megadjuk az engedélyezett ip címet vagy a teljes hálózatot. Ezután egy helyettesítő maszkot adunk meg (Wildcard), ez a Netmaszk bitenkénti negáltja. Azaz 0.0.0.255 esetében olyan mintha 255.255.255.0 netmaszkot adnánk meg.
Router(config)#ip nat inside source
list 10 int f0/0 overload A hozzáférési lista
alapján fogja összerendelni a külső és belső címeket. Az overload
egy opcionális kulcs, ez a PAT azaz Port cím fordítás, ha ezt a parancsot nem
adjuk ki egy időben csak egy belső címet tud átfordítani külsőre.
Így már tudunk üzenetet küldeni a belső hálózatról. Bár fogadni nem fogunk tudni kívülről.
Emelt szintnél:
Előfordulhat, hogy a feladat azt kéri, hogy a net felől egy olyan címen érjünk
el egy a belső hálózatunkban lévő szervert, amely címmel nem rendelkezik a
routerünk, esetleg dinamikusan mást kapunk a szolgáltatótól is. pl.: Érjük a
belső hálózati szervert amely címe 192.168.100.100 a
külső 122.10.10.100-as címen (pl. ezt kaptuk mint FIX Ip-t),
holott ilyen külső címünk ránézésből nincs is. Megoldás: fel
kell venni egy statikus NAT-ot: Ip nat inside source
static 192.168.100.100 122.10.10.100 à ilyenkor bár ez a
külső címünk egyetlen interfacen sincs ott de a
router lebeszéli a szolgáltatói routerrel, hogy felénk kell küldeni a
122.10.10.100-as Ip-re érkező kéréseket.
Portforwarding azaz hogy érjünk el távolról az
otthoni szerverünket/szervereinket.
Alap koncepció: Nem érdemes a
szolgáltató kis Routerére rátenni a cuccainkat mert beleláthatnak. Kell egy
belső router mint a képen az „Otthoni router”. Kérünk neki egy IP-t a
WRT300-tól. Innentől fogva már statikus útvonalat nem is kell csinálni kifele
mert alapból létrehozza magától.
Belső hálózatokat tetszőlegesen állíthatunk de kelleni fog egy dinamikus NAT, hogy mindenki
kijusson a belső hálózatból.
ip nat
inside source list 10 interface FastEthernet0/0
overload
Ha távolról a szolgáltatón keresztül
el akarjuk érni a belső hálózatunkat pl. a böngészőbe a beírjuk a WRT300-as
külső IP-jét. PING-elni nem lehet majd, ezért érdemes
böngészőből megnézni az (openmediavault nevű) szerver
weblapját. Ilyenkor a WRT300-ban be kell állítani a DMZ-t arra az IP-re ami az Otthoni router külső IP-je. Ezután kell egy
statikus NAT ami a kintről bejövőt fordítja belső
címre:
ip nat
inside source static 192.168.100.10 192.168.0.110 Az első IP a szerver címe a második
a Router külső IP-je.
Ha több szerver is van mint itt a példában:
ip nat
inside source static tcp 192.168.100.10 80
192.168.0.110 80 Ez a http
szolgáltatás portja, azaz Forwardoltuk
a webszerver címére a kérést.
ip nat
inside source static udp 192.168.100.9 69
192.168.0.110 69 Ez a TFTP szolgáltatás portja, azaz Forwardoltuk a TFTP
(Server0) címére a kérést.
A
WRT300-ason a legegyszerűbb a DMZ-t használni de lehet
ott is portforwardingolni, ha véletlen nem akarna
működni a DMZ mód. Míg a DMZ mindent beenged addig a Port forwarding
csak azokat a kéréseket engedi be amiket beállítunk.
Cél IP-nek mindig a belső router külső IP-jét állítjuk be!