4. Bejelentkezés, jogosultsági szintek¶
Egy hálózati berendezés beállítását értelemszerűen főként hálózati hozzáféréssel szeretnénk elvégezni, ezért azt egy esetleges támadótól védeni kell. Az új, beállítatlan Cisco eszközök semmilyen védelmet nem tartalmaznak, ezért a kezdeti beállításukban ezeket mindenképp el kell végezni. Egy egyszerű hálózati berendezés esetében egy jelszó, esetleg egy név és jelszó megadása után az eszközhöz teljes hozzáférést kapunk, az IOS esetében ez azonban nem így van, a hozzzáféréseknek különböző szintjei vannak.
Bejelentkezés egy Mikrotik routerbe¶
A Cisco operációs rendszere, az IOS a SOHO (Small Offfice Home Office - mikrovállalkozások és házi felhasználásra tervezett eszközök) berendezésektől eltérően több hozzáférési szintet definiál, ezek mindegyike jelszó megadásához köthető. A gyakorlatok során a hatékonyság érdekében ezeket a beállításokat nem fogjuk minden esetben elvégezni, de egy éles helyzetben működő berendezés esetében ezek működése kötelező, így a Hozzáférések, jelszavak c. fejezetben javasolt beállítási sémát a gyakorlatban tekintsd szigorú ajánlásnak.
Az IOS az egyes beállításokat különböző hozzáférési szintekhez köti, ezzel korlátozható a kiadható parancsok köre. Így egy kevésbé képzett hálózatért felelős munkatárs számára is adható hozzáférés, mellyel pl. le tudja kérdezni a berendezés állapotát, de nem képes annak működését befolyásolni. A Cisco IOS hozzáférési szintjeit az alábbi ábra foglalja össze:
Jogosultsági szintek az IOS-ben¶
- 1. szint:
User hozzáférés. Ezen a szinten csak néhány, elsősorban a berendezés állapotának lekérdezésére, kapcsolat ellenőrzésére szolgáló parancs érhető el, melyek közül a leggyakoribbak a enable, show vagy a ping. Ezek a szint nem teszi lehetővé a berendezés működésének megváltoztatását, még az újraindítását sem. Ebben a módban a prompt berendezés nevét, és egy > jelet tartalmaz. Az alábbi példa a
switchnevű eszköz felhasználói szintű hozzáférését mutatja.
Switch>
- 2. szint:
Ezt gyakran privilegizált mód néven is említik, ebben már a berendezés beállításai részletesen megtekinthetők. Ebben indítható újra az eszköz, menthető el, vagy tölthetők vissza konfigurációs beállításai. Bár innen még további beállítási szintek is nyílnak, azok már nem újabb védelmi szintek, így nem rendelhetők hozzájuk további jelszavak. Ez a szint az enable parancs kiadásával érhető el.
Switch> enable
Switch#
- 3. szint:
Globális konfigurációs mód, ebben a végezhetők el az eszköz beállításai. Ebbe a módba a configure terminal paranccsal lehet lépni.
Az egyes szintekből visszalépni mindig az exit paranccsal lehet. Az alábbi példában először privilegizált, majd konfigurációs módba lépünk, majd az hostname S1 paranccsal a switch nevét S1-re állítjuk. Ezt követően három exit parancs kiadásával a korábbi szinteket visszafelé eljárva kilépünk a router konfigurációs felületéből.
Switch> enable
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# hostname S1
S1(config)# exit
%SYS-5-CONFIG_I: Configured from console by console
S1# exit
S1> exit
Press RETURN to get started.
Megjegyzés
Az end parancs kilép a konfigurációs módokból és a privilegizált szintre visz.
A parancsok bevitele során használható a Unix és Windows parancssorokban már megszokott Tab-os kiegészítés. A rendszer a parancsok rövidített módját is ismeri: valójában elég őket addig leírni, amíg a parancs neve egyértelmű nem lesz. Így a configure terminal helyett gyakran csak conf t-t írnak, vagy az show interface brief helyett sh int br-t.
4.1. Néhány egyszerű parancs¶
A Cisco eszközök parancskészletét úgy építették fel, hogy – amennyiben értelmezettek – azok egyformán használhatók legyenek a switchek és a routerek esetében is. Lássunk néhány egyszerű parancsot, melyeket a jövőben rendszeresen használni fogunk!
4.2. Interfészek leírása¶
A show ip interface brief parancs felsorolja a berendezés portjait, és rövid információt ad azokról. Bár a gyakorlatban feltehetően nem moduláris switch-csel találkozol majd először, most egy ilyen kimenetét nézzük meg. Egy moduláris switch egy desktop PC-hez hasonlóan bővítőhelyeket, ún. slotot tartalmaz, így a kilépítettsége szabadon változtatható. Az alábbi ábrán látható ún. PT-Switch 6 slotjába 4 rézvezetékes FastEthernet és két optikai portot építettek be, további 4 slot pedig üres. Emellett látható az ábrán egy konzol port is, melynek feladatát a hozzaferesek c. fejezetben fogod megismerni.
Egy moduláris, különböző portokkal rendelkező switch¶
A show ip interface brief parancs tehát egy rövid listát ad a példában szereplő switch interfészeiről, felsorolja azok neveit, hálózati beállításait és állapotát. Az alábbi példában a switch első FastEthernet portjához már korábban egy számítógépet kapcsoltam, ezért az up állapoban van.
Switch> sh ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/1 unassigned YES manual up up
FastEthernet1/1 unassigned YES manual down down
FastEthernet2/1 unassigned YES manual down down
FastEthernet3/1 unassigned YES manual down down
FastEthernet4/1 unassigned YES manual down down
FastEthernet5/1 unassigned YES manual down down
Vlan1 unassigned YES manual administratively down down
Az interfészek nevei után álló számok fejezik ki, hogy azok a switch melyik portját írják le, pl. a FastEthernet0 esetében ez a 0. sorszámú FastEthernet portot jelenti. Egy moduláris berendezés azonban több slotban akár slotonként is több interfész befogadására alkalmas lehet, ezért ezeknél / jellel elválasztva több szám is látható. Ekkor az első a slot sorszámát, a második pedig az azon belül szereplő port sorszámát jelenti. Példánkban minden portban csak egy interfészt tartalmazó kártya van, ezért a második számjegy minden esetben 1.
Ahogyan már említettük, a parancsokat az IOS rendszerében csak addig kell kiírni, amíg azok jelentése egyértelmű nem lesz, esetünkben a s ip int br is pontosan ugyanezt a kimenetet adná. Ugyanez érvényes az interfészek neveire is: a FastEthernet0/1 F0/1-re, a GigabitEthernet3 G3-ra, a Serial3/1/2 pedig S3/1/2-re rövidíthető.
4.3. Interfészek részletes adatai¶
A show interface FastEthernet0/1 parancs részletes információt ad a paraméterében meghatározott interfészről. Az állapot(FastEthernet0/1 is up: az interfész be van kapcsolva), a MAC cím (000b.beb4.47d9), és a port sebessége (100Mb/s) mellett számos egyéb, ezen a ponton nem fontos részletek tekinthetők meg.
Switch> show interface FastEthernet0/1
FastEthernet0/1 is up, line protocol is up (connected)
Hardware is Lance, address is 000b.beb4.47d9 (bia 000b.beb4.47d9)
BW 100000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s
input flow-control is off, output flow-control is off
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:08, output 00:00:05, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue :0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
956 packets input, 193351 bytes, 0 no buffer
Received 956 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 watchdog, 0 multicast, 0 pause input
0 input packets with dribble condition detected
2357 packets output, 263570 bytes, 0 underruns
0 output errors, 0 collisions, 10 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
Megjegyzés
Az interfész nevének elhagyásával a parancs az összes port adatait meg fogja jeleníteni.
4.4. IP paraméterek beállítása¶
Nme lenne ideális elvárás, hogy a hálózati eszközök beállításait csak személyes jelenléttel lehetne elvégezni. A menedzselhető eszközökhöz távolról is hozzá lehet férni, ehhez azonban be kell állítani azok IP címét és alhálózati maszkját. Ezek tervezéséről és pontos funkcióiról később részletesen lesz szó, most csak a beállítás módját tanuljuk meg.
Az alábbi példában beállítjuk a switch IP paramétereit: a címe legyen 192.168.1.1, a netmaszk pedig 255.255.255.0! A működőképesség ellenőrzéséhez csatlakoztass ehhez egy PC-t, állítsd be az IP címét 192.168.1.10-re, majd a PC-ről pingeld meg a switchet a ping 192.168.1.1 paranccsal!
Egy PC és egy switch kapcsoltának ellenőrzése¶
Switch>ena
Switch#conf term
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname S1
S1(config)#int vlan1
S1(config-if)#ip address 192.168.1.1 255.255.255.0
S1(config-if)#no shutdown
S1(config-if)#end
A ping parancs eredménye:
Cisco Packet Tracer PC Command Line 1.0
C:\>ping 192.168.1.1
Pinging 192.168.1.1 with 32 bytes of data:
Request timed out.
Reply from 192.168.1.1: bytes=32 time<1ms TTL=255
Reply from 192.168.1.1: bytes=32 time<1ms TTL=255
Reply from 192.168.1.1: bytes=32 time<1ms TTL=255
Ping statistics for 192.168.1.1:
Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
A Cisco eszközök konfigurálása soán fontos tudnod, hogy egyes kapcsolatok felépüléséhez több időre van szükség, amit a fenti ping eredménye is mutat: az első pincs csomagra nem érkezett válasz, amit a Request timed out üzenet jelzett.
4.5. Konfiguráció mentése¶
A konfigurációs beállításokat az eszköz RAM-ban tárolja, melynek tartalma a kikapcsolást követően elvész, ezért annak tartós megőrzéséről gondoskodni kell. A gyakorlatban a beállításokat a elsősorban a berendezésekbe épített nvramba (nem felejtő memóriába) szokás menteni. A rendszer memóriájában levő konfigurációs beállításokat running-config-nak, az nvramban levő, indításkor betöltődő konfigurációs fájlt pedig startup-config-nak nevezik.
A mentés parancsa egyszerű, csak a running-configot kell a startup-configba másolni. A mentés során ugyan megváltoztatható a fájl neve, így tartalék mentések is készíthetők, de a rendszer indulásakor a startup-config nevű fájlt keresi majd az operációs rendszer.
sw-1> ena
sw-1# copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
A beállítások nvramba történő mentése nem elégséges, hiszen az eszköz meghibásodása, és kényszerű cseréje esetén a konfigurációs fájlhoz nem lehet hozzáférni, így a beállításokat kézzel, „emlékből” kell elvégezni. Ezért lehetőség van TFTP protokollon egy távoli gépre is elmenteni a beállításokat. Ehhez viszont egy olyan szerverre is szükség van, amely képes ilyen szolgáltatást nyújtani.
Konfiguráció mentése TFTP szerverre¶
A Packet Tracerben egy ilyet kapcsoltam a switch következő portjához, és a 192.168.1.2-es IP címet, valamint a 255.255.255.0-s alhálózati maszkot állítottam be azon. A szerver Services paneljében meggyőződtem arról, hogy a TFTP szerver be van kapcsolva.
TFTP szerver szoftver és tárolt fájljai¶
Miután rendelkezésre áll TFTP szerver, elvégzem a konfiguráció mentését erre is. A running-config másolatának helye most tftp: lesz, amihez még meg kell adni annak IP címét is:
sw-1> ena
sw-1# copy running-config tftp:
Address or name of remote host []? 192.168.1.2
Destination filename [sw-1-confg]?
Writing running-config....!!
[OK - 1245 bytes]
1245 bytes copied in 3.011 secs (413 bytes/sec)
A folyamat sikerességét a TFTP szerver fájljainak ellenőrzésével teheted meg, abban a mentést követően meg kell jelennie az sw-1-confg fájlnak is.
Feladat:
A restore-switch-config.pkt fájlban levő hálózatban meghibásodott a switch, így annak tartalma többé nem érhető el. Köszönhetően a szemfüles hálózati adminisztrátornak, a konfigurációs fájl rendelkezésre áll a TFTP szerveren. Kapcsolódj egy konzolkábellel az új switch-hez, és töltsd vissza a konfigurációját! (Útmutatás: most a másolás során a TFTP szerver a forrás, és a startup-config a cél. A fájl nevét ismered, a visszatöltés után egyszerűen indítsd újra a switchet a reload paranccsal.)
4.6. Konfigurációs fájlok kezelése¶
Az eszköz aktuális, RAM-ban levő konfigurációját a show running-config, amennyiben van mentett konfigurációnk, a show startup-config parancs jeleníti meg. Az alábbi példában az aktuális konfigurációt nézzük meg, ebben látható a korábban kiadott hostname S1 eredménye is.
S1# show running-config
Building configuration...
Current configuration : 1076 bytes
version 15.0
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
hostname S1
spanning-tree mode pvst
spanning-tree extend system-id
interface FastEthernet0/1
interface FastEthernet0/2
interface FastEthernet0/3
interface FastEthernet0/4
interface FastEthernet0/5
interface FastEthernet0/6
interface FastEthernet0/7
interface FastEthernet0/8
interface FastEthernet0/9
interface FastEthernet0/10
interface FastEthernet0/11
interface FastEthernet0/12
interface FastEthernet0/13
interface FastEthernet0/14
interface FastEthernet0/15
interface FastEthernet0/16
interface FastEthernet0/17
interface FastEthernet0/18
interface FastEthernet0/19
interface FastEthernet0/20
interface FastEthernet0/21
interface FastEthernet0/22
interface FastEthernet0/23
interface FastEthernet0/24
interface GigabitEthernet0/1
interface GigabitEthernet0/2
interface Vlan1
no ip address
shutdown
line con 0
line vty 0 4
login
line vty 5 15
login
end
Az egyes parancsok kimenete a Unix-ban megismert szűrőparancsok mintájára szűkíthetők a | karakter használatával. Ez úgy, ahogyan már ismered, a parancs kimenetét átadja az azt követő szűrőparancsnak. A Cisco IOS-ben ezek a szűrőparancsok az alábbiak:
- include:
a unixos grep-hez hasonlóan csak azok a sorok jelennek meg, amelyek az include után megadott mintát tartalmazzák: show running-config | include hostname.
- begin:
a megadott mintával kezdődő sorok megjelenítése. Míg az include esetében a megadott minta a soron belül bárhol lehet, a begin a sor elején levő mintaegyezés esetén működik. Egy példa lehet erre a show running-config | begin interface parancs, ami csak az interface-ek neveit jeleníti meg.
- exclude:
az előző ellentéte, a paraméterként megadott mintát tartalmazó sorok nem jelennek meg. A show running-config | exclude ! az összes megjegyzés sort kihagyja, csak az érdemi információk kerülnek megjelenítésre.
- section:
a paraméterként megadott szekciót jeleníti meg. A show running-config | section Vlan1 a konfiguráció Vlan1 szöveget tartalmazó szekcióját jeleníti meg:
S1#sh run | section Vlan1 interface Vlan1 no ip address shutdown
A Cisco eszközei különböző tárolókkal rendelkeznek. A RAM mellett a legismertebbek a flash memória és az nvram. A flash memória tartalma a dir flash:, az nvram-é pedig a dir nvram parancsokkal kérdezhető le. A parancsok kimenete mutatja, hogy az operációs rendszert tartalmazó fájlt (2960-lanbasek9-mz.150-2.SE4.bin) a flash, a mentett konfigurációt pedig az nvram tárolja (startup-config).
sw-1> enable
sw-1# dir flash
Directory of flash:/
1 -rw- 4670455 <no date> 2960-lanbasek9-mz.150-2.SE4.bin
2 -rw- 1245 <no date> config.text
64016384 bytes total (59344684 bytes free)
sw-1# dir nvram
Directory of nvram:/
238 -rw- 1153 <no date> startup-config
1153 bytes total (237588 bytes free)
Ezeknek a háttértárak a tartalma törölhető is, egy berendezés alaphelyzetbe állításához pl. törölhető a startup-config fájlt az erase startup-config paranccsal. A következő újraindítás során ennek hiányában konfigurálatlanul, az alapértelmezett beállításokkal indul majd el az eszköz.
sw-1# erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] ENTER
[OK]
Erase of nvram: complete
%SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram
sw-1# dir nvram
Directory of nvram:/
No files in directory
Megjegyzés
A későbbiekben majd tanulunk vlan-okról, ezek adatait egy önálló fájlban, a vlan.dat-ban tárolja a rendszer. Azt, hogy ezt a rendszer a normál konfigurációtól elkülönítve tárolja, a hálózati adminisztrátorok egyes több órás hiábavaló hibakeresést követően a keresztény hittel nehezen összeegyeztethető mondatokkal szokták véleményezni.
4.7. Újraindítás¶
Minden IOS alapú Cisco berendezést a reload paranccsal lehet újraindítani. Ehhez természetesen privilegizált módba kell lépni, a User mód ezt nem teszi lehetővé.
Switch> enable
Switch# reload
Proceed with reload? [confirm] ENTER
C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(25r)FX, RELEASE SOFTWARE (fc4)
Cisco WS-C2960-24TT (RC32300) processor (revision C0) with 21039K bytes of memory.
2960-24TT starting...
Base ethernet MAC Address: 0002.4A73.CE4B
...
4.8. Jelszó alaphelyzetbe állítása¶
A gyakorlatban sajnos előfordul, hogy egy hálózati berendezés jelszavát elfelejtjük, vagy egy már használt berendezést nem tudunk birtokba venni, mert annak jelszavát nem ismerjük. Az ilyen helyezetek megoldására a Cisco kínál megoldási módszereket, ezek azonban egy switch és egy router esetén eltérőek lehetnek. Mindkét módszer a már ismert soros terminál kapcsolatot igényli, az első lépés tehát ennek beállítása úgy, ahogyan az a fejezet eleján már láttuk.
User Access Verification
Password:
Amennyiben egy switch előlapján egy Mode feliratú gomb található, a berendezést ennek folyamatos nyomva tartása mellett kell bekapcsolnai (vagy áram alá helyezni). A switch ekkor a jelszó-helyreállítási módban indul el:
Boot Sector Filesystem (bs) installed, fsid: 2
Base ethernet MAC Address: 4c:5d:3c:a1:96:00
Xmodem file system is available.
The password-recovery mechanism is enabled.
The system has been interrupted prior to initializing the
flash filesystem. The following commands will initialize
the flash filesystem, and finish loading the operating
system software:
flash_init
boot
switch:
A helyreállítás első lépéseként inicializáljuk a flash memóriát a flash_init paranccsal, majd az aktuális konfiguráció fájlt (mely a jelszót is tartalmazza) átnevezzük, így az a következő boot folyamat során nem töltődik be, így jelszó sem lesz beállítva. Végül újraindítjuk a berendezést, melyet így már nem véd jelszó.
switch: flash_init
Initializing Flash...
flashfs[0]: 570 files, 20 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 65544192
flashfs[0]: Bytes used: 19097600
flashfs[0]: Bytes available: 46446592
flashfs[0]: flashfs fsck took 21 seconds.
...done Initializing Flash.
A konfigurációs fájl a berendezés flash memóriájában található config.text fájlban van. A flash memória tartalmát az alábbi paranccsal tudjuk megnézni:
switch: dir flash:
Directory of flash:/
2 -rwx 1780 <date> config.text
3 -rwx 34 <date> pnp-tech-time
4 -rwx 41689 <date> pnp-tech-discovery-summary
5 -rwx 3096 <date> multiple-fs
8 drwx 192 <date> c2960-lanbasek9-mz.152-2.E8
591 drwx 64 <date> dc_profile_dir
590 -rwx 5 <date> private-config.text
46446592 bytes available (19097600 bytes used)
A config.text fájlt át kell neveznünk valami másra, pl. config.old-ra:
switch: rename flash:config.text flash:config.old
Végül újraindítjuk az eszközt a boot paranccsal:
switch: boot
Loading "flash:/c2960-lanbasek9-mz.152-2.E8/c2960-lanbasek9-mz.152-2.E8.bin"...@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
...
Switch>
Switch>ena
Switch#
Amennyiben a helyreállítandó eszköznek nincs reset vagy mode gombja, másképpen kell eljárnunk. Első lépésként most is terminál kapcsolara lesz szükségünk, ennek beálltása után pedig az áramtalanított eszközt be kell kapcsolni. A boot folyamat során a PC billentyűzetén a CTRL-BREAK billentyűkombináció folyamatos nyomogatásával lehet az ún. rom monitorba lépni:
Initializing Hardware ...
Checking for PCIe device presence...done
System integrity status: 0x610
Rom image verified correctly
System Bootstrap, Version 16.12(2r), RELEASE SOFTWARE
Copyright (c) 1994-2019 by cisco Systems, Inc.
Current image running: Boot ROM0
Last reset cause: PowerOn
ISR4221/K9 platform with 4194304 Kbytes of main memory
rommon 1 >
A rom monitor nem az operációs rendszer része, hanem inkább a berendezésbe „égetett” alapvető funkcionalitás, amely leginkább egy PC BIOS-ához hasonlítható. Ez más hardverközeli feladatok mellett elvégzi az operációs rendszer betöltését, ezt szakítottuk meg a CTRL-BREAK-kel. A rom monitor lehetőséget ad arra, hogy a következő boot folyamat során megakadályozzuk a konfigurációs fájl betöltését, melyet egy ún. konfigurációs regiszter beállításával lehet megadni. A 0x2142 beállításával a konfigurációs fájl nem fog betöltődni, később pedig a 0x2102 beállításával kapcsoljuk majd ezt ki, és állítjuk vissza a routert a normál működési folyamatába. A beállítást a confreg paranccsal lehet elvégezni, ezt követően a reset paranccsal indítjuk újra az eszközt. (A folyamat egyébként elég lassan megy végbe, szükség lesz námi türelemre is.)
rommon 1 > confreg 0x2142
You must reset or power cycle for new config to take effect
rommon 2 > reset
Resetting .......
System Bootstrap, Version 16.12(2r), RELEASE SOFTWARE
Copyright (c) 1994-2019 by cisco Systems, Inc.
Current image running: Boot ROM0
Last reset cause: LocalSoft
ISR4221/K9 platform with 4194304 Kbytes of main memory
........
Located packages.conf
#
#############################################################################
#############################################################################
#############################################################################
#########################################################
...
A router ez után tehát nem a normál boot folyamatát hajtja végre, nem lesznek érvényesek a jelszókorlátozások. Most imár törölheted a jelszó beállításokat (esetleg a már látott módon állíthatsz be újat). A jelszó törését az alábbi módon végeztem el:
ena
conf term
no enable secret
line console 0
no password
exit
config-register 0x2102
write
reload