CISCO — GRE + IPSec — Mikrotik

CISCO — GRE + IPSec — Mikrotik

Форма поиска

Поиск пт, 02/10/2015 — 18:49 — akrasnojen

Сегодня рассмотрим пример рабочей конфигурации соединения роутера CISCO с роутером Mikrotik через GRE туннель с IPSec шифрованием в транспортном режиме.

В общем виде схема подключения у нас будет следующая:

mikrotik_ipsec_01_3.jpg

Исходные данные:
Роутер 1: cisco 2821
Роутер 2: mikrotik 1100X2H ver

Предполагаем, что интернет на роутерах уже есть и настроен.

Итак, первым делом, поднимаем GRE туннель между роутерами

cisco

Создаем интерфейс и вешаем на него IP адрес для PtP соединения.

c2821(config)#int tun 20
c2821(config-if)#description name
c2821(config-if)#tunnel sour 194.190.XXX.XXX
c2821(config-if)#tunnel dest 158.58.XXX.XXX
c2821(config-if)#keepalive 10 3
c2821(config-if)#ip add 172.16.200.5 255.255.255.252
c2821(config-if)#

Где
194.190.XXX.XXX — адрес источника, IP адрес внешнего интерфейса на cisco, через который будет поднят туннель
158.58.XXX.XXX — адрес назначения (внешний IP адрес на mikrotik)

mikrotik

Настройки на стороне mikrotik. Не смотря на то, что у mikrotik есть свой собственный CLI, мы будем настраивать через GUI используя winbox.

interface -> GRE tunnel -> new

mikrotik_ipsec_02_0.jpg

где указываем аналогичные параметры: источник туннеля и назначение.

И так же назначаем IP адрес PtP

IP -> Address -> new

mikrotik_ipsec_03_0.jpg

После этого можно проверить статус GRE на cisco

c2821#sh int tun 20
Tunnel20 is up, line protocol is up
Hardware is Tunnel
Description: name
Internet address is 172.16.200.5/30
MTU 17916 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive set (10 sec), retries 3
Tunnel source 194.190.XXX.XXX, destination 158.58.XXX.XXX
Tunnel protocol/transport GRE/IP
Key disabled, sequencing disabled
Checksumming of packets disabled
Tunnel TTL 255, Fast tunneling enabled
Tunnel transport MTU 1476 bytes
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Last input 00:00:07, output 00:00:03, output hang never
Last clearing of «show interface» counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 4
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
2275551 packets input, 2859175195 bytes, 0 no buffer
Received 0 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
1610862 packets output, 134864699 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out

и на mikrotik

mikrotik_ipsec_04.jpg

Проверяем доступность туннеля

c2821#ping 172.16.200.6
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.200.6, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/25/28 ms
c2821#

Теперь навешиваем шифрование на созданный канал

IPSec может работать в 2-х режимах:
-транспортном
-канальном

Мы будем использовать транспортный, т.е. шифруются только данные, а не весь пакет целиком.

Шифрование — AES256
hash — SHA1

cisco

Создаем политику

c2821(config)#crypto isakmp policy 20
c2821(config-isakmp)# encr aes 256
c2821(config-isakmp)# authentication pre-share
c2821(config-isakmp)# group 2
c2821(config-isakmp)#crypto isakmp key StrongPasswords address 158.58.XXX.XXX

Используем транспортный режим IPSec

crypto ipsec transform-set transform-2 esp-aes 256 esp-sha-hmac 
 mode transport

создаем профиль шифрования

crypto ipsec profile transform-2-prof
 set transform-set transform-2 
 set pfs group2

и накладываем шифрование на туннель

tunnel protection ipsec profile transform-2-prof

Итоговая конфигурация

crypto isakmp policy 20
 encr aes 256
 authentication pre-share
 group 2
crypto isakmp key StrongPassword address 158.58.XXX.XXX
!
!
crypto ipsec transform-set transform-2 esp-aes 256 esp-sha-hmac 
 mode transport
!
crypto ipsec profile transform-2-prof
 set transform-set transform-2 
 set pfs group2
!
!
!         
!
!
!
interface Tunnel20
 description Name
 ip address 172.16.200.5 255.255.255.252
 keepalive 10 3
 tunnel source 194.190.XXX.XXX
 tunnel destination 158.58.XXX.XXX
 tunnel protection ipsec profile transform-2-prof

Mikrotik

Создаем пира, с указанием его IP адреса, метода аутентификации, хеш алгоритма и т.д.

IP -> IPSec -> Peers -> new

mikrotik_ipsec_05_0.jpg
У нас будет использоваться AES256 и SHA1

Создаем политику шифрования

IP -> IPSec -> Policies -> new

шифруем GRE между 2-я узлами
mikrotik_ipsec_06_1.jpg

mikrotik_ipsec_07.jpg

В Proposal указываем параметры которые будут использоваться при подключении SA

mikrotik_ipsec_08.jpg

После этого осталось настроить маршрутизацию (OSPF, статическая и т.д.) и наложить acl.

Проверим статус туннеля

c2821#sh int tun 20
Tunnel20 is up, line protocol is up
Hardware is Tunnel
Description: name
Internet address is 172.16.200.5/30
MTU 17874 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive set (10 sec), retries 3
Tunnel source 194.190.XXX.XXX, destination 158.58.XXX.XXX
Tunnel protocol/transport GRE/IP
Key disabled, sequencing disabled
Checksumming of packets disabled
Tunnel TTL 255, Fast tunneling enabled
Tunnel transport MTU 1434 bytes
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Tunnel protection via IPSec (profile «transform-2-prof»)
Last input 00:00:42, output 21:22:37, output hang never
Last clearing of «show interface» counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 6529
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
2320461 packets input, 2865519526 bytes, 0 no buffer
Received 0 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
1645830 packets output, 138277428 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out

security associations (SAs) между 2-мя пирами

c2821#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
194.190.XXX.XXX 158.58.XXX.XXX QM_IDLE 1054 ACTIVE

IPv6 Crypto ISAKMP SA

c2821#show crypto ipsec sa

interface: Tunnel20
Crypto map tag: Tunnel20-head-0, local addr 194.190.XXX.XXX

protected vrf: (none)
local ident (addr/mask/prot/port): (194.190.XXX.XXX/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (158.58.XXX.10/255.255.255.255/47/0)
current_peer 158.58.XXX.XXX port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 28483, #pkts encrypt: 28483, #pkts digest: 28483
#pkts decaps: 49421, #pkts decrypt: 49421, #pkts verify: 49421
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 3, #recv errors 0

local crypto endpt.: 194.190.XXX.XXX, remote crypto endpt.: 158.58.XXX.XXX
path mtu 1500, ip mtu 1500, ip mtu idb Vlan2
current outbound spi: 0xA60FAE6(174127846)
PFS (Y/N): Y, DH group: group2

inbound esp sas:
spi: 0x2E23C83B(774096955)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Transport, }
conn id: 2053, flow_id: NETGX:53, sibling_flags 80000006, crypto map: Tunnel20-head-0
sa timing: remaining key lifetime (k/sec): (4412341/321)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0xA60FAE6(174127846)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Transport, }
conn id: 2054, flow_id: NETGX:54, sibling_flags 80000006, crypto map: Tunnel20-head-0
sa timing: remaining key lifetime (k/sec): (4413935/321)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

outbound ah sas:

outbound pcp sas:

Со стороны mikrotik туннель выглядит вот так

mikrotik_ipsec_09.jpg
mikrotik_ipsec_10.jpg

‹ _Mikrotik_ВверхMikrotik + Cisco + IPIP Tunnel + IPSec + OSPF ›



Password Recovery Procedure for the Cisco

Password Recovery Procedure for the Cisco 806, 826, 827, 828, 831, 836, 837 and 881 Series Routers

 

 

 

Updated:May 4, 2014
Document ID:12065

Introduction

This document describes how to recover the enable password and the enable secret passwords. These passwords protect access to privileged EXEC and configuration modes. The enable password password can be recovered, but the enable secret password is encrypted and must be replaced with a new password. Use the procedure described in this document in order to replace the enable secret password.

Note: Refer to Password Recovery Procedure for the Cisco 801, 802, 803, 804, 805, 811, and 813 Series Routers in order to recover a password on the Cisco 801, 802, 803, 804, 805, 811, and 813 Series Routers.

Prerequisites

Requirements

There are no specific requirements for this document.

Components Used

The information in this document is based on these hardware versions:

  • Cisco 806 Series Router

  • Cisco 826 Series Router

  • Cisco 827 Series Router

  • Cisco 828 Series Router

  • Cisco 831 Series Router

  • Cisco 836 Series Router

  • Cisco 837 Series Router

  • Cisco 881 Series Router

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Related Products

Refer to Password Recovery Procedures for information on how to recover passwords for related products.

Conventions

Refer to Cisco Technical Tips Conventions for information on document conventions.

Step-by-Step Procedure

Follow these steps in order to recover your password:

  1. Attach a terminal or PC with terminal emulation to the console port of the router.

    Use these terminal settings:

    • 9600 baud rate

    • No parity

    • 8 data bits

    • 1 stop bit

    • No flow control

    Refer to these documents for information on how to cable and connect a terminal to the console port or the AUX port:

  2. If you can access the router, type show version at the prompt, and record the configuration register setting. See Example of Password Recovery Procedure in order to view the output of a show version command

    Note: The configuration register is usually set to 0x2102 or 0x102. If you can no longer access the router (because of a lost login or TACACS password), you can safely assume that your configuration register is set to 0x2102.

  3. Use the power switch in order to turn off the router, and then turn the router back on.

    Important Notes:

    • In order to simulate this step on a Cisco 6400, pull out and then plug in the Node Route Processor (NRP) or Node Switch Processor (NSP) card.

    • In order to simulate this step on a Cisco 6×00 with NI-2, pull out and then plug in the NI-2 card.

  4. Press Break on the terminal keyboard within 60 seconds of power up in order to put the router into ROMMON.

    If the break sequence does not work, refer to Standard Break Key Sequence Combinations During Password Recovery for other key combinations.

  5. Type confreg 0x2142 at the rommon 1> prompt in order to boot from Flash.

    This step bypasses the startup configuration where the passwords are stored.

  6. Type reset at the rommon 2> prompt.

    The router reboots, but ignores the saved configuration.

  7. Type no after each setup question, or press Ctrl-C in order to skip the initial setup procedure.

  8. Type enable at the Router> prompt.

    You are in enable mode and should see the Router# prompt.

  9. Type configure memory or copy startup-config running-config in order to copy the nonvolatile RAM (NVRAM) into memory.

    Important: Do not type copy running-config startup-config or write. These commands erase your startup configuration.

  10. Type show running-config.

    The show running-config command shows the configuration of the router. In this configuration, the shutdown command appears under all interfaces, which indicates all interfaces are currently shut down. In addition, the passwords (enable password, enable secret, vty, console passwords) are in either an encrypted or unencrypted format. You can reuse unencrypted passwords. You must change encrypted passwords to a new password.

  11. Type configure terminal.

    The hostname(config)# prompt appears.

  12. Type enable secret <password> in order to change the enable secret password. For example:

    hostname(config)#enable secret cisco

  13. Issue the no shutdown command on every interface that you use.

    If you issue a show ip interface brief command, every interface that you want to use should display up up.

  14. Type config-register <configuration_register_setting>. Where configuration_register_setting is either the value you recorded in step 2 or 0x2102 . For example:

    hostname(config)#config-register 0x2102

  15. Press Ctrl-z or end in order to leave the configuration mode.

    The hostname# prompt appears.

  16. Type write memory or copy running-config startup-config in order to commit the changes.

Example of Password Recovery Procedure

This section provides an example of the password recovery procedure. This example was created with a Cisco 2600 Series Router. Even if you do not use a Cisco 2600 Series Router, this output provides an example of what you should experience on your product.

Router>enable
Password:
Password:
Password:
% Bad secrets

Router>show version
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-IS-M), Version 12.0(7)T, RELEASE SOFTWARE (fc2)
Copyright (c) 1986-1999 by cisco Systems, Inc.
Compiled Tue 07-Dec-99 02:21 by phanguye
Image text-base: 0x80008088, data-base: 0x80C524F8

ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)

Router uptime is 3 minutes
System returned to ROM by abort at PC 0x802D0B60
System image file is "flash:c2600-is-mz.120-7.T"

cisco 2611 (MPC860) processor (revision 0x202) with 26624K/6144K bytes of memory.
Processor board ID JAB031202NK (3878188963)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
Basic Rate ISDN software, Version 1.1.
2 Ethernet/IEEE 802.3 interface(s)
2 Serial(sync/async) network interface(s)
1 ISDN Basic Rate interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash partition 1 (Read/Write)
8192K bytes of processor board System flash partition 2 (Read/Write)

Configuration register is 0x2102

Router>



!--- The router was just powercycled, and during bootup a !--- break sequence was sent to the router.


!

*** System received an abort due to Break Key ***

signal= 0x3, code= 0x500, context= 0x813ac158
PC = 0x802d0b60, Vector = 0x500, SP = 0x80006030
rommon 1 > confreg 0x2142

You must reset or power cycle for new config to take effect

rommon 2 > reset

System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)
Copyright (c) 1999 by cisco Systems, Inc.
TAC:Home:SW:IOS:Specials for info
C2600 platform with 32768 Kbytes of main memory


program load complete, entry point: 0x80008000, size: 0x6fdb4c

Self decompressing the image : ###############################
##############################################################
##############################################################
##############################################################
############################### [OK]


 Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

 cisco Systems, Inc.
 170 West Tasman Drive
 San Jose, California 95134-1706

Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-IS-M), Version 12.0(7)T, RELEASE SOFTWARE (fc2)
Copyright (c) 1986-1999 by cisco Systems, Inc.
Compiled Tue 07-Dec-99 02:21 by phanguye
Image text-base: 0x80008088, data-base: 0x80C524F8

cisco 2611 (MPC860) processor (revision 0x202) with 26624K/6144K bytes of memory.
Processor board ID JAB031202NK (3878188963)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
Basic Rate ISDN software, Version 1.1.
2 Ethernet/IEEE 802.3 interface(s)
2 Serial(sync/async) network interface(s)
1 ISDN Basic Rate interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash partition 1 (Read/Write)
8192K bytes of processor board System flash partition 2 (Read/Write)


 --- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: n

Press RETURN to get started!

00:00:19: %LINK-3-UPDOWN: Interface BRI0/0, changed state to up
00:00:19: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up
00:00:19: %LINK-3-UPDOWN: Interface Ethernet0/1, changed state to up
00:00:19: %LINK-3-UPDOWN: Interface Serial0/0, changed state to down
00:00:19: %LINK-3-UPDOWN: Interface Serial0/1, changed state to down
00:00:20: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0, 
changed state to down
00:00:20: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0,
 changed state to up
Router>
00:00:20: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/1, 
changed state to up
00:00:20: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, 
changed state to down
00:00:20: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, 
changed state to down
00:00:50: %SYS-5-RESTART: System restarted --
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-IS-M), Version 12.0(7)T, RELEASE SOFTWARE (fc2)
Copyright (c) 1986-1999 by cisco Systems, Inc.
Compiled Tue 07-Dec-99 02:21 by phanguye
00:00:50: %LINK-5-CHANGED: Interface BRI0/0, 
changed state to administratively down
00:00:52: %LINK-5-CHANGED: Interface Ethernet0/0, 
changed state to administratively down
00:00:52: %LINK-5-CHANGED: Interface Serial0/0, 
changed state to administratively down
00:00:52: %LINK-5-CHANGED: Interface Ethernet0/1, 
changed state to administratively down
00:00:52: %LINK-5-CHANGED: Interface Serial0/1, 
changed state to administratively down
00:00:53: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, 
changed state to down
00:00:53: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/1, 
changed state to down
Router>
Router>enable
Router#copy startup-config running-config
Destination filename [running-config]?
1324 bytes copied in 2.35 secs (662 bytes/sec)
Router#
00:01:24: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1, 
changed state to down
00:01:24: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:2, 
changed state to down
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#enable secret < password >
Router(config)#^Z
00:01:54: %SYS-5-CONFIG_I: Configured from console by console
Router#show ip interface brief

Interface   IP-Address        OK?  Method     Status                   Protocol
Ethernet0/0 10.200.40.37      YES  TFTP       administratively down    down
Serial0/0   unassigned        YES  TFTP       administratively down    down
BRI0/0      193.251.121.157   YES  unset      administratively down    down
BRI0/0:1    unassigned        YES  unset      administratively down    down
BRI0/0:2    unassigned        YES  unset      administratively down    down
Ethernet0/1 unassigned        YES  TFTP       administratively down    down
Serial0/1   unassigned        YES  TFTP       administratively down    down
Loopback0   193.251.121.157   YES  TFTP       up                       up
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface Ethernet0/0
Router(config-if)#no shutdown
Router(config-if)#
00:02:14: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up
00:02:15: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, 
changed state to up
Router(config-if)#interface BRI0/0
Router(config-if)#no shutdown
Router(config-if)#
00:02:26: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to down
00:02:26: %LINK-3-UPDOWN: Interface BRI0/0:2, changed state to down
00:02:26: %LINK-3-UPDOWN: Interface BRI0/0, changed state to up
00:02:115964116991: %ISDN-6-LAYER2UP: Layer 2 for Interface BR0/0, 
TEI 68 changed to up
Router(config-if)#^Z
Router#
00:02:35: %SYS-5-CONFIG_I: Configured from console by console
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Router#show version
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-IS-M), Version 12.0(7)T, RELEASE SOFTWARE (fc2)
Copyright (c) 1986-1999 by cisco Systems, Inc.
Compiled Tue 07-Dec-99 02:21 by phanguye
Image text-base: 0x80008088, data-base: 0x80C524F8

ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)

Router uptime is 3 minutes
System returned to ROM by abort at PC 0x802D0B60
System image file is "flash:c2600-is-mz.120-7.T"

cisco 2611 (MPC860) processor (revision 0x202) 
with 26624K/6144K bytes of memory.
Processor board ID JAB031202NK (3878188963)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
Basic Rate ISDN software, Version 1.1.
2 Ethernet/IEEE 802.3 interface(s)
2 Serial(sync/async) network interface(s)
1 ISDN Basic Rate interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash partition 1 (Read/Write)
8192K bytes of processor board System flash partition 2 (Read/Write)

Configuration register is 0x2142

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#config-register 0x2102
Router(config)#^Z
00:03:20: %SYS-5-CONFIG_I: Configured from console by console

Router#show version
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-IS-M), Version 12.0(7)T, RELEASE SOFTWARE (fc2)
Copyright (c) 1986-1999 by cisco Systems, Inc.
Compiled Tue 07-Dec-99 02:21 by phanguye
Image text-base: 0x80008088, data-base: 0x80C524F8

ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)

Router uptime is 3 minutes
System returned to ROM by abort at PC 0x802D0B60
System image file is "flash:c2600-is-mz.120-7.T"

cisco 2611 (MPC860) processor (revision 0x202) 
with 26624K/6144K bytes of memory.
Processor board ID JAB031202NK (3878188963)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
Basic Rate ISDN software, Version 1.1.

2 Ethernet/IEEE 802.3 interface(s)
2 Serial(sync/async) network interface(s)
1 ISDN Basic Rate interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash partition 1 (Read/Write)
8192K bytes of processor board System flash partition 2 (Read/Write)

Configuration register is 0x2142 (will be 0x2102 at next reload)

Router#


Матрица совместимости трансиверов Cisco

https://tmgmatrix.cisco.com/?ct=6&npid=78



Тренинг Cisco 200-125 CCNA v3.0 — 11

Оригинал

https://habr.com/ru/company/ua-hosting/blog/458434/

Тренинг Cisco 200-125 CCNA v3.0. День 11. Основы VLAN

Автор оригинала: Имран Рафаи
  • Перевод
  • Tutorial
Прежде чем мы приступим к основам VLAN, я бы попросил всех вас поставить это видео на паузу, нажать на иконку в нижнем левом углу, где написано Networking consultant, зайти на нашу страничку Facebook и поставить там лайк. Затем вернитесь к видео и нажмите на иконку King в правом нижнем углу, чтобы подписаться на наш официальный канал на YouTube. Мы постоянно добавляем новые серии, сейчас это касается курса CCNA, затем мы планируем начать курс видеоуроков CCNA Security, Network+, PMP, ITIL, Prince2 и публиковать эти замечательные серии на нашем канале. 

Итак, сегодня мы поговорим об основах VLAN и ответим на 3 вопроса: что такое VLAN, зачем нам нужна VLAN и как её настроить. Я надеюсь, что после просмотра этого видеоурока вы сможете ответить на все три вопроса.

Что такое VLAN? VLAN – это аббревиатура названия «виртуальная локальная сеть». Дальше по ходу нашего урока мы рассмотрим, почему эта сеть виртуальная, но прежде чем мы перейдем к VLAN, нам нужно понять, как работает свитч. Мы еще раз повторим некоторые из вопросов, которые обсудили на предыдущих уроках. 

Сначала обсудим, что представляет собой Multiple Collision Domain, или домен коллизий. Мы знаем, что этот свитч на 48 портов имеет 48 доменов коллизий. Это означает, что каждый из этих портов или устройств, подключенных к этим портам, может взаимодействовать с другим устройством на другом порту независимым образом, не оказывая друг на друга никакого влияния.

Все 48 портов этого свитча являются частями одного широковещательного домена Broadcast Domain. Это означает, что если несколько устройств подключены к нескольким портам, и одно из них ведет широковещательную передачу, то она появится на всех портах, к которым подключены остальные устройства. Именно так работает свитч.

Это как если бы люди сидели в одной комнате близко друг к другу, и когда один из них что-то громко говорит, то его слышат все остальные. Однако это совершенно неэффективно – чем больше людей будет появляться в комнате, тем шумнее она будет становиться и присутствующие перестанут слышать друг друга. Аналогичная ситуация возникает с компьютерами – чем больше устройств подключается к одной сети, тем больше становится «громкость» широкого вещания, что не позволяет установить эффективную связь. 

Мы знаем, что если одно из этих устройств подсоединено к сети 192.168.1.0/24, все остальные устройства являются частью этой же сети. Свитч также должен быть подсоединен к сети с таким же IP-адресом. Но тут у свитча как устройства 2 уровня OSI может возникнуть проблема. Если два устройства подсоединены к одной сети, они легко могут связаться с компьютерами друг друга. Предположим, что в нашей компании работает «плохой парень», хакер, которого я нарисую сверху. Снизу под ним расположен мой компьютер. Так вот, этому хакеру очень легко проникнуть в мой компьютер, поскольку наши компьютеры являются частью одной сети. Вот в чем состоит проблема. 

Если я принадлежу к административному руководству, и этот новый парень сможет получить доступ к файлам на моем компьютере, будет совсем не хорошо. Конечно, на моем компьютере есть файрвол, защищающий от многих угроз, но хакеру не составит труда его обойти. 

Вторая опасность, существующая для всех, кто является членом этого широковещательного домена, состоит в том, что если у кого-то возникнут неполадки с широковещательной передачей, эта помеха повлияет на другие устройства сети. Хотя все 48 портов могут быть подсоединены к разным хостам, сбой в работе одного хоста повлияет на остальные 47, что совсем нам не нужно.
Для решения этой проблемы мы используем концепцию VLAN, или виртуальную локальную сеть. Она работает очень просто, разделяя этот один большой 48-и портовый свитч на несколько меньших свитчей. 

Мы знаем, что подсети делят одну большую сеть на несколько маленьких сетей, и VLAN работает аналогичным образом. Она разделяет 48–и портовый свитч, например, на 4 свитча по 12 портов, каждый из которых является частью новой присоединенной сети. При этом мы можем использовать 12 портов для управления, 12 портов для работы IP-телефонии и так далее, то есть разделить свитч не физически, а логически, виртуально. 

Я выделил три порта верхнего свитча, обозначенных синим цветом, для «синей» сети VLAN10, а три оранжевых порта назначил для VLAN20. Таким образом, любой трафик с одного из этих синих портов будет поступать только на другие синие порты, не затрагивая остальных портов данного свитча. Аналогично будет распространяться и трафик с оранжевых портов, то есть мы будто бы используем два разных физических свитча. Таким образом, VLAN является способом разделения свитча на несколько свитчей для разных сетей. 

Я нарисовал сверху два свитча, здесь у нас имеется ситуация, когда на левом свитче задействованы соединения только синих портов для одной сети, а на правом — только оранжевых для другой сети, и эти свитчи никак не связаны друг с другом. 

Допустим, вы ходите задействовать больше портов. Представим, что у нас имеется 2 здания, в каждом из которых свой управленческий штат, и два оранжевых порта нижнего свитча используются для управления. Поэтому нам нужно, чтобы эти порты были связаны со всеми оранжевыми портами других свитчей. Аналогичная ситуация с синими портами – все синие порты верхнего свитча должны иметь связь с остальными портами аналогичного цвета. Для этого нам необходимо физически связать эти два свитча в разных зданиях отдельной линией связи, на рисунке это линия между двумя портами зеленого цвета. Как мы знаем, если два свитча соединены физически, у нас образуется магистраль, или транк. 

В чем же заключается разница между обычным и VLAN свитчем? Это не большая разница. Когда вы покупаете новый свитч, то по умолчанию все порты настроены на режим VLAN и являются частью одной сети, обозначаемой как VLAN1. Вот почему когда мы подсоединяем какое-то устройство к одному порту, оно оказывается соединенным со всеми остальными портами, потому что все 48 портов принадлежат одной виртуальной сети VLAN1. Но если мы настроем синие порты на работу в сети VLAN10, оранжевые – в сети VLAN20, а зеленые – VLAN1, то получим 3 разных свитча. Таким образом, использование режима виртуальной сети позволяет нам логически группировать порты под конкретные сети, разделять широковещательную передачу на части и создавать подсети. При этом каждый из портов конкретного цвета принадлежит отдельной сети. Если синие порты будут работать в сети 192.168.1.0 и оранжевые порты будут работать в сети 192.168.1.0, то не смотря на одинаковый IP-адрес, они не будут связаны друг с другом, потому что логически будут принадлежать разным свитчам. А как мы знаем, разные физические свитчи не общаются друг с другом, если не соединены общей линией связи. Таким образом, мы создаем разные подсети для разных VLAN. 

Хочу обратить ваше внимание, что концепция VLAN распространяется только на свитчи. Тот, кто знаком с протоколами инкапсуляции, такими как .1Q или ISL, знает, что ни роутеры, ни компьютеры не имеют никаких VLAN. Когда вы подключает свой компьютер, например, к одному из синих портов, вы ничего не меняете в компьютере, все изменения происходят только на втором уровне OSI, уровне свитча. Когда мы настраиваем порты под работу с конкретной сетью VLAN10 или VLAN20, свитч создает базу данных VLAN. Он «записывает» себе в память, что порты 1,3 и 5 принадлежат VLAN10, 14,15 и 18 порты являются частью сети VLAN20, а остальные задействованные порты являются частями сети VLAN1. Поэтому если какой-то трафик исходит из синего порта 1, он попадает только на порты 3 и 5 этой же сети VLAN10. Свитч «смотрит» в свою базу данных и видит, что если трафик исходит от одного из оранжевых портов, он должен поступать только на оранжевые порты сети VLAN20. 

Однако компьютер ничего не знает об этих сетях VLAN. Когда мы соединяем 2 свитча, то между зелеными портами образуется транк. Термин «транк» актуален только для устройств компании Cisco, остальные производителе сетевых устройств, такие, как Juniper, используют термин Tag port, или «тегированный порт». Я считаю, что название Tag port является более подходящим. Когда из этой сети исходит трафик, транк передает его на все порты следующего свитча, то есть мы соединяем два 48-и портовых свитча и получаем один 96-и портовый свитч. При этом, когда мы отсылаем трафик из VLAN10, он становится тегированным, то есть снабжается меткой, которая показывает, что он предназначен только для портов сети VLAN10. Второй свитч, получив данный трафик, считывает тег и понимает, что это трафик именно для сети VLAN10 и должен поступать только на синие порты. Точно так же «оранжевый» трафик для VLAN20 снабжен тегом, который указывает, что он предназначается для портов VLAN20 второго свитча. 

Мы также упомянули инкапсуляцию, и здесь имеется два метода инкапсуляции. Первый – это .1Q, то есть когда мы организуем транк, мы должны обеспечить инкапсуляцию. Протокол инкапсуляции .1Q – это открытый стандарт, описывающий процедуру тегирования трафика. Есть и другой протокол под названием ISL, Inter-Switch link, разработанный компанией Cisco, который указывает на принадлежность трафика определенной VLAN. Все современные свитчи работают с протоколом .1Q, поэтому, достав новый свитч из коробки, вам не нужно использовать никаких команд инкапсуляции, потому что по умолчанию она осуществляется протоколом .1Q. Таким образом, после создания транка инкапсуляция трафика происходит автоматически, что позволяет считывать теги. 

Теперь давайте приступим к настройке сети VLAN. Создадим сеть, в которой будет 2 свитча и два конечных устройства – компьютеры PC1 и PC2, которые мы соединим кабелями со свитчем #0. Начнем с основных настроек свитча Basic Configuration.

Для этого щелкнем по свитчу и зайдем в интерфейс командной строки, а затем зададим имя хоста, назвав этот свитч sw1. Теперь перейдём к настройкам первого компьютера и зададим статический IP-адрес 192.168.1.1 и маску подсети 255.255. 255.0. Адрес шлюза по умолчанию не нужен, потому что все наши устройства находятся в одной сети. Далее мы проделаем все то же самое для второго компьютера, назначив ему IP-адрес 192.168.1.2. 

Теперь вернемся к первому компьютеру, чтобы пропинговать второй компьютер. Как видим, пингование прошло удачно потому что оба эти компьютеры подсоединены к одному свитчу и являются частью одной и той же сети по умолчанию VLAN1. Если сейчас посмотреть на интерфейсы свитча, мы увидим, что все порты FastEthernet от 1 до 24 и два порта GigabitEthernet настроены на VLAN #1. Однако такая излишняя доступность не нужна, поэтому мы входим в настройки свитча и вводим команду show vlan, чтобы посмотреть на базу данных виртуальных сетей. 

Вы видите здесь название сети VLAN1и то, что все порты свитча принадлежат этой сети. Это означает, что можно подсоединиться к любому порту, и все они смогут «общаться» друг с другом, потому что являются частью одной и той же сети.

Мы изменим эту ситуацию, для этого сначала создадим две виртуальные сети, то есть добавим VLAN10. Для создания виртуальной сети используется команда вида «vlan номер сети».
Как видите, при попытке создать сеть система выдала сообщение с перечнем команд конфигурации VLAN, которые нужно использовать для этого действия: 

exit – применить изменения и выйти из настроек;
name – ввести пользовательское название VLAN;
no – отменить команду или установить её по умолчанию. 

Это означает, что перед тем, как ввести команду создать VLAN, нужно ввести команду name, которая включает режим управления названиями, а затем перейти к созданию новой сети. При этом система выдает подсказку, что номер сети VLAN можно назначить в диапазоне от 1 до 1005. 
Итак, теперь мы вводим команду создать сеть VLAN под номером 20 – vlan 20, а затем задаем ей название для пользователя, которое показывает, что это за сеть. В нашем случае мы используем команду name Employees, или сеть для сотрудников компании. 

Теперь нам нужно назначить для этой VLAN конкретный порт. Мы заходим в режим настроек свитча int f0/1, затем вручную переводим порт в режим Access командой switchport mode access и указываем, какой именно порт нужно перевести в этот режим – это порт для сети VLAN10. 

Мы видим, что после этого цвет точки соединения PC0 и свитча, цвет порта, поменялся с зеленого на оранжевый. Он опять станет зеленым, как только изменения настроек войдут в силу. Попытаемся пропинговать второй компьютер. Мы не вносили никаких изменений в настройки сети для компьютеров, они по-прежнему имеют IP-адреса 192.168.1.1 и 192.168.1.2. Но если мы попытаемся с компьютера PC0 пропинговать компьютер PC1, у нас ничего не получится, потому что теперь эти компьютеры принадлежат к разным сетям: первый к VLAN10, второй – к native VLAN1. 

Вернемся к интерфейсу свитча и настроим второй порт. Для этого я введу команду int f0/2 и повторю для сети VLAN 20 те же шаги, что и при настройке предыдущей виртуальной сети. 
Мы видим, что теперь нижний порт свитча, к которому подсоединен второй компьютер, так же поменял свой цвет с зеленого на оранжевый – должно пройти несколько секунд, прежде чем изменения в настройках войдут в силу и он опять станет зеленым. Если снова запустить пингование второго компьютера, у нас ничего не получится, потому что компьютеры по-прежнему принадлежат к разным сетям, только PC1 теперь является частью не VLAN1, а VLAN20. 
Таким образом, вы разделили один физический свитч на два разных логических свитча. Вы видите, что сейчас цвет порта поменялся с оранжевого на зеленый, порт заработал, но все равно не пингуется, потому что принадлежит к другой сети. 

Внесем изменения в нашу схему – отсоединим компьютер PC1 от первого свитча и подключим его ко второму свитчу, а сами свитчи соединим кабелем.

Для того, чтобы установить между ними связь, я войду в настройки второго свитча и создам VLAN10, присвоив ей название Management, то есть сеть управления. Затем я включу режим Access и укажу, что этот режим предназначен для сети VLAN10. Теперь цвет портов, через которые соединены свитчи, изменился с оранжевого на зеленый, потому что они оба настроены на VLAN10. Сейчас нам нужно создать транк между обоими свитчами. Оба эти порта являются Fa0/2, поэтому нужно создать транк для порта Fa0/2 первого свитча, используя команду switchport mode trunk. То же самое нужно проделать для второго свитча, после чего между этими двумя портами образуется транк.

Теперь, если я захочу пропинговать с первого компьютера компьютер PC1, все получится, потому что связь между PC0 и свитчем #0 – это сеть VLAN10, между свитчем #1 и PC1 тоже VLAN10, а оба свитча соединены транком. 

Итак, если устройства расположены в разных сетях VLAN, то они не связаны друг с другом, а если в одной сети, то между ними можно осуществить свободный обмен трафиком. Попробуем добавить к каждому свитчу еще по одному устройству. 

В сетевых настройках добавленного компьютера PC2 я установлю IP-адрес 192.168.2.1, а в настройках PC3 – адрес 192.168.2.2. При этом порты, к которым подсоединены эти два ПК, получат обозначение Fa0/3. В настройках свитча #0 мы установим режим Access и укажем, что данный порт предназначен для VLAN20, и то же самое проделаем для свитча #1.

Если я использую команду switchport access vlan 20, а сеть VLAN20 еще не создана, система выдаст ошибку вида «Access VLAN does not exist”, потому что свитчи настроены на работу только с VLAN10.

Давайте создадим VLAN20. Я использую команду «показать VLAN», чтобы просмотреть базу данных виртуальных сетей. 

Вы видите, что сетью по умолчанию является VLAN1, к которой подсоединены порты от Fa0/4 до Fa0/24 и Gig0/1, Gig0/2. Виртуальная сеть под номером 10 с названием Management подключена к порту Fa0/1, а сеть VLAN под номером 20 с названием по умолчанию VLAN0020 подключена к порту Fa0/3. 

В принципе, название сети не имеет значения, главное, чтобы оно не повторялось для разных сетей. Если я хочу заменить имя сети, которое система присваивает по умолчанию, я использую команду vlan 20 и name Employees. Я могу поменять это имя на другое, например, на IPphones, и если мы пропингуем IP-адрес 192.168.2.2, то увидим, что имя VLAN не имеет никакого значения. 
Последнее, что я хочу упомянуть – это назначение Management IP, о котором мы говорили на последнем уроке. Для этого мы используем команду int vlan1 и вводим IP-адрес 10.1.1.1 и маску подсети 255.255.255.0, а затем добавляем команду no shutdown. Мы назначили Management IP не для всего свитча, а только для портов VLAN1, то есть назначили IP-адрес, с которого осуществляется управление сетью VLAN1. Если мы хотим осуществить управление VLAN2, нам нужно создать соответствующий интерфейс для VLAN2. В нашем случае имеются синие порты VLAN10 и оранжевые порты VLAN20, которым соответствуют адреса 192.168.1.0 и 192.168.2.0.
VLAN10 должна иметь адреса, расположенные в этом же диапазоне, чтобы к ней могли подсоединятся соответствующие устройства. Аналогичная настройка должна быть произведена и для VLAN20. 

В этом окне командной строки свитча показаны настройки интерфейса для VLAN1, то есть native VLAN. 

Для того, чтобы настроить Management IP для VLAN10, мы должны создать интерфейс int vlan 10, а затем добавить IP-адрес 192.168.1.10 и маску подсети 255.255.255.0. 

Для настройки VLAN20, мы должны создать интерфейс int vlan 20, а затем добавить IP-адрес 192.168.2.10 и маску подсети 255.255.255.0. 

Зачем это нужно? Если компьютер PC0 и верхний левый порт свитча #0 принадлежат к сети 192.168.1.0, PC2 относится к сети 192.168.2.0 и подключен к порту native VLAN1, который относится к сети 10.1.1.1, то PC0 не может установить связь с этим свитчем по протоколу SSH, потому что они принадлежат к разным сетям. Поэтому для того, чтобы PC0 мог связаться со свитчем по протоколу SSH или Telnet, мы должны предоставить ему доступ Access. Вот зачем нам нужно управление сетью. 

Мы должны иметь возможность связать PC0 с помощью SSH или Telnet с IP-адресом интерфейса VLAN20 и внести любые нужные нам изменения через SSH. Таким образом, Management IP необходим именно для настройки VLAN, потому что каждая виртуальная сеть должна иметь свое собственное управление доступом. 

В сегодняшнем видео мы обсудили много вопросов: основные настройки свитча, создание сетей VLAN, назначение портов VLAN, назначение Management IP для сетей VLAN и настройку транков. Пусть вас не смущает, если вы чего-то не поняли, это естественно, потому что VLAN является очень сложной и обширной темой, к которой мы будем возвращаться в следующих уроках. Я гарантирую, что с моей помощью вы сможете стать «мастерами» VLAN, но смысл этого урока был в том, чтобы разъяснить вам 3 вопроса: что такое сети VLAN, зачем они нам нужны и как их настраивать. 

Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R420 — 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?

Теги:


Тренинг Cisco 200-125 CCNA v3.0 — 12

Оригинал

https://habr.com/ru/company/ua-hosting/blog/458560/

Тренинг Cisco 200-125 CCNA v3.0. День 12. Углубленное изучение VLAN

Автор оригинала: Имран Рафаи
  • Перевод
Сегодняшний урок мы посвятим продвинутому изучению VLAN. Прежде чем начать, напомню еще раз, чтобы вы не забывали делиться этими видео с друзьями и ставить лайки на нашем канале YouTube и в группе на Facebook. Сегодня мы изучим три темы: Native VLAN, VTP (VLAN Trunk Protocol) и функцию VTP Pruning. Сначала вспомним, что представляет собой транкинг, и затронем темы из двух последних видеоуроков. 

Итак, транк – это соединение, которое мы используем для связи одного свитча с другим свитчем. VLAN – это технология, которая применима только в отношении свитчей, однако любое устройство, говорящее на языке инкапсуляции и связанное со свитчем по протоколу .1Q, понимает всё, что касается VLAN. Компьютеры ничего не знают об этой технологии.

На приведенном рисунке компьютеры PC1, PC2 и PC4 являются частью синей VLAN, как вы помните из предыдущего урока, это VLAN10. Сама по себе линия, обозначенная синим цветом, не имеет никакого отношения к VLAN, потому что VLAN касается только порта свитча. Таким образом, оба порта левого свитча относятся к VLAN10 и любой входящий или исходящий трафик ассоциируется только с этой сетью. Свитч знает, что трафик этих синих портов не имеет никакого отношения к красному порту, потому что это две разные виртуальные линии. 

VLAN это концепция для свитчей, поэтому каждый свитч поддерживает создание и хранение базы данных виртуальных сетей. Это таблица, в которой указано, какой из портов соответствует конкретной VLAN. Таким образом, если свитч получает трафик для PC1, он проверяет, является ли этот трафик частью VLAN10, и направляет его компьютеру. Если трафик с PC1 предназначен для PC4, свитч направит его по транку SW1-SW2. Как только трафик попадает в порт транка первого свитча, он снабжает фрейм заголовком VLAN TAG, в котором содержится идентификатор VLAN ID, в нашем случае это 10. Получив этот трафик, второй свитч считывает информацию фрейма, видит, что это трафик VLAN10, и направляет его на синий порт для PC4. 

Таким образом, транкинг – это процесс передачи трафика между двумя свитчами, а VLAN TAGS – это заголовки фрейма, идентифицирующие конкретную виртуальную сеть и указывающие, в какую сеть должен быть направлен данный трафик. Если по ошибке синий трафик попадет к компьютеру по красной линии, тот даже не будет знать, как его прочитать. Это будто бы кто-то разговаривает на иностранном языке с человеком, который не знает этого языка. Итак, компьютер совершенно не способен распознавать теги VLAN. Компьютер PC3 подсоединен к свитчу через access – порт, а упомянутый нами трафик может пересылаться только через транк-порт. 

Все это особенности 2-го уровня модели OSI, к которому относятся свитчи. Для того, чтобы лучше понять суть VLAN и тегов, мы должны думать, как свитч. Предположим, что свитч – это комната, в которой находятся 5 человек, а вы – хозяин этой комнаты. Три человека под номерами 1,2 и 4 принадлежат к одной группе, а два под номерами 3 и 5 – к другой, и ваша обязанность сделать так, чтобы разговаривать друг с другом могли только люди, принадлежащие к одной и той же группе. 

Продолжим обсуждение концепции native VLAN. Как уже говорилось, каждый порт свитча ассоциируется с определенной VLAN.

Например, два порта первого свитча связаны с VLAN10, третий access-порт с VLAN20, а четвертый – это транк-порт. Точно так же SW2 связан с PC4 через порт VLAN10, с PC5- через access-порт VLAN20 и с хабом через транк-порт. Однако у нас имеется одна проблема – свитчи дорого стоят, поэтому часто используется схема, при которой два свитча связаны друг с другом через хаб. Два свитча соединены с хабом с помощью транков, но сам хаб ничего не знает о концепции VLAN, он просто копирует сигнал. Как мы уже сказали, если трафик VLAN напрямую направить к компьютеру, он его отбросит, потому что не поймет, что это такое. Как же нам быть с компьютером PC6, который соединен с хабом напрямую, если он собирается установить связь с компьютером PC4? 

Компьютер PC6 отправляет трафик, который поступает на свитч SW2. Получив этот трафик, свитч видит, что фрейм не имеет тега VLAN и не знает, в какую сеть его направить – VLAN10 или VLAN20. Для такого случая компания Cisco создала технологию, которая носит название Native VLAN, и по умолчанию VLAN1 является Native VLAN. 

Предположим, у нас имеется ещё один компьютер, я нарисую его над свитчем SW2, и этот ПК соединен со свитчем через порт VLAN1. Такой же компьютер расположен над SW1 и тоже соединен с ним через VLAN1. Я нарисую еще один компьютер под правым свитчем.

Два компьютера, соединенные со свитчем SW2 через VLAN1, могут общаться друг с другом, но не способны связаться с другими компьютерами. Когда свитч получает через транк нетегированный трафик, он считает, что этот трафик адресован сети VLAN1, или Native VLAN, и направляет его компьютерам, подсоединенным к портам VLAN1. Аналогичным образом, когда свитч получает нетегированный трафик PC6, он адресует его сети VLAN1. 

Что произойдет, если у нас на красной линии VLAN20 имеется IP-телефон Cisco, который подсоединен к компьютеру PC5 и свитчу SW2? Это типичная схема расположения офисного сетевого оборудования. В данном случае также используется концепция Native VLAN. Как я говорил, компьютер не знает, что такое VLAN, а телефон – знает. Вопрос состоит в том, сможем ли мы отсылать данные и голосовой сигнал по одной и той же VLAN. Это очень опасная ситуация, потому что если компьютер находится на одной линии связи с IP-телефоном, хакер легко может подсоединиться к такому каналу связи и использовать Wireshark для перехвата голосовых пакетов. Далее он может конвертировать эти голосовые пакеты в звуковой файл и подслушать любой телефонный разговор. Поэтому на практике голосовой трафик и трафик с данными никогда не передаются по одной и той же линии VLAN. Как же это можно настроить?

Мы превращаем порт, к которому подсоединен IP-телефон, в транк-порт, и считаем, что любой трафик, проходящий через этот порт – это голосовой трафик сети VLAN30. Любой IP-телефон Cisco использует протокол инкапсуляции 802.1q, который принято называть сокращенно .1Q или Dot 1Q. Таким образом, когда трафик с телефона попадает в соответствующий порт, свитч понимает, что это голосовой трафик VLAN30. У нас должен иметься другой телефон, который подсоединен к свитчу SW, который тоже является частью VLAN30.

Что же в этом случае происходит с компьютером PC4, который подсоединен к свитчу через access- порт? Ведь весь трафик, которым этот компьютер обменивается со свитчем, принадлежит синей VLAN10. Однако компьютер PC5 соединен со свитчем через транк, а для транка мы не настраиваем никакой VLAN! В этом случае порт работает в режиме trunk, а не access, поэтому мы не можем использовать команду switchport access VLAN#. Здесь используется та же концепция, что и в случае с компьютером PC6 – если свитч получает нетегированный трафик, он направляет его на порт сети native VLAN, по умолчанию это VLAN1. 

Возникает вопрос, можно ли изменить native VLAN. Ответ – да, вы можете это сделать, например, в случае с красной линией можно поменять native VLAN на VLAN20, и тогда свитч будет направлять красный трафик от PC5 в сеть VLAN20. Поскольку оба свитча связаны транком, свитч SW2, получив трафик VLAN20, посчитает его трафиком native VLAN и отправит свитчу SW1 как нетегированный. 

Получив этот трафик, свитч SW1 распознает его как нетегированный native трафик, и поскольку его native VLAN — это VLAN1, отправит данный трафик в эту сеть. Если мы меняем native VLAN, то должны делать это с осторожностью, чтобы убедиться, что все native VLAN во всех свитчах изменились правильным образом, иначе это может вызвать множество проблем.

Это был короткий обзор native VLAN, а теперь мы перейдем к проприетарному протоколу VTP (VLAN Trunking Protocol). В первую очередь вы должны запомнить, что, не смотря на свое название, VTP не является протоколом транкинга. 

Из предыдущих уроков мы знаем, что имеется всего 2 протокола транкинга: проприетарный протокол Cisco под названием ISL и общепринятый протокол 802.1q. 

VTP также является проприетарным протоколом Cisco, но не занимается транкингом в смысле создания магистральных подключений. Предположим, что мы создали VLAN10 на порту первого свитча, к которому подсоединен компьютер. Далее у нас имеется транк SW1-SW2 и транк SW2-SW3. Когда транк-порт SW1 получает трафик компьютера, он знает, что это трафик VLAN10 и пересылает его второму свитчу. Однако второй свитч не знает, что такое VLAN10, потому что к нему не подсоединено ничего кроме транка, поэтому, чтобы принять этот трафик и отправить его дальше, он создает на своих портах VLAN10. Свитч 3 поступит аналогично – получив трафик по транку, он создаст VLAN10.

Можно создать на SW3 два access-порта, и оба будут VLAN10. Предположим, что на всех 3-х свитчах я хочу создать ещё одну сеть – VLAN20. Это станет возможно только после того, как будут созданы порты для VLAN20. Чем больше устройств, компьютеров и свитчей добавляется в вашу сеть, тем сложнее становится создание новых VLAN, поэтому Cisco автоматизировала данный процесс, создав VTP.

Если мы создаем новую VLAN, назовем её VLAN30, на одном из свитчей, то на всех остальных свитчах, соединенных транком, автоматически создается такая же сеть VLAN30. 

Дополненная, обновленная база данных VLAN просто рассылается по всем свитчам, после чего вам остается только создать access-порт для компьютера. Без этого протокола вам придется вручную перенастраивать все свитчи. Недостатком VTP является то, что если вы вносите изменения в базу данных VLAN, у неё изменяется revision number — номер ревизии. Обычно, когда вы используете свитч прямо из коробки, все настройки имеют нулевой номер ревизии. Когда вы добавляете новую VLAN, например, десятую, база данных SW1 получает номер ревизии #1. В этом случае второй свитч говорит: «ок, у тебя ревизия 1, а у меня ревизия 0, значит я должен поменять номер своей ревизии на 1 и перекопировать все данные из твоей таблицы VLAN в свою таблицу». То же самое проделывает третий свитч. 

Допустим, теперь 2 свитч добавляет себе VLAN20 и меняет номер ревизии на 2, тогда то же самое должны проделать первый и третий свитч. Каждый раз, когда вы изменяете номер ревизии, протокол проверяет, у кого этот номер выше, и меняет все остальные номера ревизии на этот номер, одновременно обновляя свою таблицу VLAN. Причем VTP безоговорочно доверяет свитчу с наибольшим номером ревизии. 

Представим себе такую ситуацию. В компанию приходит новый сотрудник и обнаруживает где-нибудь в углу свитч, который используется для обучения персонала. Он ничего об этом не знает, видит, что данный свитч выглядит новее, и решает подключить его к общей сети. Он настраивает этот свитч, подключает его, например, к свитчу SW2 и создает транк. И как только он его включает, вся ваша сеть падает! Все перестает работать, потому что связь между компьютерами и свитчами полностью пропадает. 

Почему же это произошло? Максимальный номер ревизии свитчей компании 50, потому что в компании имеется всего 5 VLAN – 10,20,30,40,50. Новый свитч использовался для обучения, к нему подсоединялось больше сетей, в настройки вносилось много изменений, в результате чего его revision number увеличился до 100. При этом у него в базе данных VLAN имеется всего одна сеть под номером 105. 

После того, как SW Training подсоединился к SW2 через транк, второй свитч увидел, что у новичка больший номер ревизии, и принял решение изменить свой номер на высший. При этом он скопировал себе таблицу VLAN нового свитча, автоматически удалив все имеющиеся у него сети VLAN10,20,30…., заменив их одной VLAN105, которой до этого не было в существующей сети. Точно также поступили первый и третий свитч, изменив себе номер ревизии с 50 на 100 и удалив из базы данных старые сети, потому что они не содержались в таблице VLAN свитча SW Training.
У свитча SW1 были созданы access-порты для сети VLAN10, но после обновления ревизии эта сеть пропала. Свитчи устроены таким образом, что если access-порт настроен на работу с сетью, которой нет в базе данных VLAN, данный порт программно отключается. То же самое произошло с сетями VLAN20 и VLAN30 – свитчи не нашли их в обновленной базе данных виртуальных сетей и просто отключили соответствующие access-порты, после чего существующая локальная сеть компании вышла из строя. 

Уверяю вас, что подобное не редко происходит на практике. Лично я дважды был свидетелем события, когда сеть прекращала работу из-за того, что кто-то подключил новый свитч. Так что будьте осторожны, потому что VTP – это очень мощная штука. Cisco считает, что из-за возможности возникновения подобной проблемы VTP лучше вообще не использовать. 

Существует механизм предотвращения сбоя сети, вызванного ошибкой использования VTP. Это механизм доменов VTP, работающий таким образом: если домен одного из свитчей в сети отличается от домена других свитчей, работающих по протоколу VTP, репликация базы данных VLAN этого свитча проводиться не будет. Однако, не смотря на этот механизм, Cisco не советует пользоваться данным протоколом без особой необходимости. 

Однако если вы уверены, что VTP поможет вам при создании сети и что вы сможете ответственно подойти к настройке свитчей, можете попробовать его использовать. VTP имеет 3 режима: Server, Client и Transparent. 

Режим VTP Server позволяет вносить изменения в сеть, то есть создавать, удалять и изменять VLAN из командной строки свитча. По умолчанию этот режим установлен во всех свитчах Cisco. 
Я нарисовал три свитча, первый из них находится в режиме Server, а два других – в режиме Client. Вы можете создать новую VLAN только на первом свитче, после чего база данных будет реплицирована на втором и третьем свитче. Если вы попробуете проделать это со вторым свитчем, то получите ответ: «Я не являюсь сервером, поэтому вы не можете внести подобные изменения в мои настройки». Вот в чем заключается механизм, предотвращающий внесение изменений. Таким образом, вы можете выбрать сервером один из свитчей, внести изменения в его настройки, и они будут повторены на свитчах – клиентах. Однако что делать, если вы не намерены использовать VTP?

Для полного отказа от использования этого протокола вам нужно перевести свитч в режим Transparent. При этом вы не отключаете режим VTP, просто свитч больше не генерирует объявления VTP, не обновляет базы данных VLAN и всегда использует configuration revision number 0. 

Допустим, мы используем режим Transparent для второго свитча. При получении VTP –информации он увидит, что данный протокол на него не распространяется, и просто передаст эту информацию следующему свитчу, который находится в режиме Client, ничего не обновляя в своих собственных настройках. Таким образом, режим Transparent означает отказ от использования VTP конкретным свитчем.

Итак запомните, что режим Server позволяет вносить изменения, режим Client – получать эти изменения, а режим Transparent предотвращает применение изменений по протоколу VTP, передавая их дальше по сети.

Теперь поговорим о концепции под названием VTP Pruning. Предположим, что на свитче SW1 существует две сети VLAN30, красная сеть VLAN20 и две синих сети VLAN10. 

Свитч SW2 не имеет порта для VLAN30. Однако по умолчанию SW1 передает тегированный трафик VLAN10,20 и 30 по транку. Как администратор сети вы знаете, что у свитча SW2 нет VLAN30, однако должны обеспечить корректную передачу любого трафика. Для этого вы используете дополнительную информацию для трафика, исходящего из SW1, с помощью VTP Pruning. Вы настраиваете первый свитч таким образом, что он может передать по транку только трафик сетей VLAN10 и VLAN20, исключая возможность передачи по транку трафика сети VLAN30. Вот что представляет собой концепция VTP Pruning. На следующем видеоуроке мы рассмотрим, как осуществить настройки, о которых я сегодня рассказал. 

Итак, мы обсудили три концепции: Native VLAN, VTP и VTP Pruning. Надеюсь, что вы поняли все из того, что услышали. Если это не так, просмотрите урок еще столько раз, сколько посчитаете нужным, и не стесняйтесь задавать мне вопросы по электронной почте или в комментариях к данному видео. 

Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R420 — 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?

Теги:


Базовые настройки безопасности Cisco

Базовые настройки безопасности Cisco

При настройке сетевого оборудования важно помнить о настройке базовых параметров безопасности оборудования, так как именно они предотвращают большую часть угроз безопасности. Встроенный функционал защиты обеспечивает базовый и необходимый уровень безопасности, который предотвращает распространённые виды атак злоумышленников. Сетевые администраторы не забывают это делать, но простые системные администраторы часто пренебрегают данными настройками и оставляют настройки без изменений.
В данной статье приведена таблица базовых настроек c пояснением и примером для настройки базовых параметров безопасности Cisco.

Рекомендация Пояснение Пример на оборудовании Cisco
Назначьте имя коммутатору Коммутатор должен быть идентифицирован router(config)#hostname R0 
Включите и настройте ssh v2, Включите ssh только на нужных vty ssh v2 сетевой протокол прикладного уровня, позволяющий производить удалённое управление, безопасен Подключение по telnet или ssh называется виртуальным терминалом (vty) R0(config)#ip domain-name cisco-dmnR0(config)#crypto key generate rsaR0(config)#line vty 0 4R0(config-line)#transport input sshR0(config-line)#password ciscoR0(config-line)#login 
Отключите telnet telnet сетевой протокол для реализации текстового терминального интерфейса по сети, он не безопасен
Ограничьте паролем доступ через консольный порт Консольный порт – это локальный порт R0(config)#line console 0
R0(config-line)#login
R0 (config-line)#password cisco
Создайте баннер на коммутаторе Хорошая практика включения приветствия на сетевом оборудовании, которое уведомляет «постороннее лицо», о том что оборудование к которому производиться подключение частное, и подключаться к нему можно только полномочному лицу. R0 (config)# banner motd # text # R0 (config)# banner login # text #R0 (config)# banner exec # text #R0 (config)# banner incoming # text # 
Включить запись истории изменения конфигурации  R0 (config)# archiveR0 (config-archive)# log configR0 (config-archive-log-cfg)# logging onR0 (config-archive-log-cfg)# hidekeys 
Переименуйте или заблокируйте административную учетную запись созданную по умолчанию. Часто атаки совершаются именно на учетную запись, созданную по умолчанию, так как её название общедоступно.
Создайте пользовательский и административный аккаунт Не все действия и процедуры на сетевом оборудовании требуют административные права доступа. R0 (config)#username cisco priv 15 secret cisco 
Настройте минимальную длину пароля согласно принятой политики. Базовая политика безопасности. R0 (config)# security passwords min-length length 
Сгенерируйте RSA ключ длиной не менее 1024 бит. Ключ RSA длиной менее 1024 бит – не стойкий и взламываемый. R0 (config)#ip domain-name comp.localR0 (config)#crypto key generate rsa general modul 1024
Сконфигурируйте версию, таймаут, журналирование и количество попыток авторизации Базовая политика безопасности. R0 (config)#ip ssh version 2R0 (config)#ip ssh time-out 60R0 (config)#ip ssh logging eventsR0 (config)#ip ssh authentication-retries 3 Логирование удачных и неудачных попыток авторизации: R0 (config)#login on-failure log every {num}R0 (config)#login on-success log every {num}
Настройте время, через которое администратор будет «отключен» через заданное время неактивности Базовая политика безопасности. R0 (config-line)# session-timeout <minutes>R0 (config-line)# exec-timeout <minutes> [seconds] 
Настройте количество одновременно активных сессий ssh v2 Базовая политика безопасности.
Настройте списки доступа Ограничьте субъектов доступа на уровне mac и ip адресов. access-list <xACL#> deny ip any any log-input!line vty 0 4access-class <ACL#> in
Настройте частоту попыток авторизации Базовая политика безопасности. R0 (config)# login delay <seconds> 
Используйте функции защиты Dynamic ARP Inspection, DHCP Snooping и IP Source Guard Dynamic ARP Inspection (Protection) функция коммутатора, предназначенная для защиты от атак с использованием протокола ARP.DHCP snooping — функция коммутатора, предназначенная для защиты от атак с использованием протокола DHCP.IP Source Guard (Dynamic IP Lockdown) — функция коммутатора, которая ограничивает IP-трафик на интерфейсах 2-го уровня. Включение DAI в VLAN:Sw (config)# ip arp inspection vlan 1Настройка доверенного порта: Sw(config)# interface gigabitethernet1/0/1Sw(config-if)# ip arp inspection trust Включить DHCP snooping: sw(config)# ip dhcp snooping Включить DHCP snooping в VLAN, которые должны быть защищены с его помощью: sw(config)# ip dhcp snooping vlan 10


Восстановление пароля на маршрутизаторах Cisco

https://habr.com/post/122348/

Практически любой начинающий Cisco-вод рано или поздно оказывается в ситуации, когда на руках имеется маршрутизатор с напрочь забытым или неизвестным, чужим паролем. Лично я, будучи преподавателем курсов Cisco, встречаюсь с этой ситуацией очень часто после лабораторных работ. Ученики строят топологию, настраивают пароли на доступ, играются с сеткой и… забывают стереть файл конфигурации перед уходом. Само собой, до следующей лабораторной работы все успешно забывают свои пароли. По непонятной мне причине, Cisco не уделяет этой теме достаточно внимание в своём учебном материале, а документация на офф-сайте зачастую пугает новичков. Этот недостаток я и хотел бы сегодня устранить.

Введение

Если вы дошли хотя бы до уровня CCENT, вам должно быть известно такое понятие, как configuration register. Это 16-битный регистр, находящийся в NVRAM-е, ответственный за последовательность загрузки маршрутизатора. А именно — откуда и в каком порядке маршрутизатор будет загружать свою операционную системы и файл настроек. Его дефолтное значение — 2102. Третья его цифра отвечает за файл настроек, четвёртая — за ОС. Наша цель — заставить маршрутизатор проигнорировать файл настроек при загрузке (именно в нём и находятся пароли) и открыть нам доступ к privileged mode. Этого мы добиваемся путём изменения третьего числа регистра на «4».

Алгоритм

 

  1. Перезагружаем маршрутизатор, дожидаемся строчки «Self decompressing the image: ###» и жмём Ctrl-C или Ctrl-Break. Этим мы приостановили загрузку маршрутизатора и теперь находимся в режиме ROM Monitor (rommon):image
  2. Меняем значение регистра на 2142 командой confreg 0x2142 (не забываем, что число это — шестнадцатиричное) и перезагружаемся ещё раз:image
  3. После перезагрузки мы попадаем в режим setup mode (что означает, что маршрутизатор не подгрузил файл настроек, чего мы и добивались). Выходим из этого режима и переходим в privileged mode:image
  4. Теперь у нас есть полный доступ к настройкам маршрутизатора. Если вам дороги ваши настройки (которые всё ещё хранятся в startup-config), самое время их восстановить командой copy start run. Все пароли теперь в силе, но так как мы уже «внутри», тоесть имеем права на конфигурацию, нас этот пароль больше не спросят:image
  5. Меняем все интересующие нас пароли на новые и сохраняем наши настройки в NVRAM:image
  6. Меняем регистр на его прежнее значение командой config-register 0x2102 и перезагружаемся для проверки новых паролей:image

Вот и всё. Весь процесс занимает от силы 5 минут.

«Но это же дырка!»

С первого взгляда, так оно и есть. Но заметим, что в Rommon можно попасть только через консоль и в процессе восстановления нам потребовалось перезагружать маршрутизатор «железно», а это значит, что злоумышленник должен иметь физический доступ к оборудованию чтоб воспользоваться этой «дырой». И уж если это случилось, то взломанный пароль на циске — как минимум не единственная ваша проблема.

Но если и это вас не убедило, есть способ закрыть возможность восстановления пароля таким образом. Это команда no service password-recovery. Она закроет возможность менять регистр на 2142. Но учтите, что если вы потеряете пароль теперь, чтоб вернуть маршрутизатор из мёртвых от вас потребуются очень массивные танцы с бубном.

Надеюсь, что был полезен.