Scopo dell`esercitazione
Transcript
Scopo dell`esercitazione
Laboratorio di reti Relazione N°3 Gruppo 9 Mesin Alberto Vettorato Mattia Scopo Scopo dell’esercitazione è quello di configurare opportunamente un Router Cisco (Serie 2600) per creare un piccolo AS. Connessione Seriale Quando si comincia a configurare un Router, l'unica maniera per connettersi con esso è attraverso la porta seriale dedicata, visto che tutte le altre interfacce sono “giù”. Solitamente ciò avviene mediante l'uso di programmi come MiniCom. Nel nostro caso si usa un Terminal-Server che, mediante connessioni telnet sulla giusta porta, fornisce la shell del router desiderato. Nel nostro caso: ~#telnet 192.168.0.100 7005 Configurazioni di base Una volta effettuato il login sul terminal server, mediante user e passwd, ci si presenta il “prompt” dei comandi dell'IOS in modalità “utente non privilegiato”: Router> Ora è possibile passare in modalità “super user” con il comando enable: Router>enable Router# Impostazione dell'ora e della data: Router#clock set 16:42:00 23 october 2006 Passiamo ora nella modalità di configurazione: Router#configure terminal Router(config)# Impostazione del nome della macchina: Router(config)#hostname gruppo9 gruppo9(config)# Configurazione dell'interfaccia ethernet: gruppo9(config)#interface fastethernet 0/0 gruppo9(config-if)#ip address 192.168.0.205 255.255.255.0 gruppo9(config-if)#no shutdown Ora controlliamo che la scheda sia effettivamente attiva. Prima con un: gruppo9#show ip interface brief e poi con un più pragmatico ping all'interfaccia del nostro pc: gruppo9#ping 192.168.0.6 Impostazione password cifrata di accesso alla modalità ENABLE: gruppo9(config)#enable secret cisco Per abilitare la connsessione telnet sull’interfaccia ethernet: gruppo9(config)#line vty 0 2 gruppo9(config-line)#login gruppo9(config-line)#password cisco Salvataggio della configurazione: gruppo9#copy running-config startup-config Salvataggio della configurazione su un file remoto (tftpserver): gruppo9#copy running-config tftp: A questo punto verranno richieste delle informazioni quali: − ip del tftp server − nome del file su cui scrivere Access-lists Access-lists standard Identificabili con un numero da 1 a 99, sono caratterizza te del solo IP sorgente e consentono la creazione di politi che per intere famiglie di protocolli. La sintassi per le ACL standard è: Nome(config)# access-list [numero della ACL] {permit| deny} [indirizzo sorgente] [wildcard] [log] Access-lists estese Identificabili con un numero da 100 a 199, sono caratte rizzate da una identificazione contemporanea degli indi rizzi IP sorgente e destinazione. Consentono la creazione di politiche per specifici proto colli o singoli servizi. La sintassi per le ACL estese è: Nome(config)# access-list [numero della ACL] {deny | permit} [protocollo] [indirizzo sorgente] [wildcard per sorgente] [destinazione] [wildcard per destinazione] [ope ratore operando/i] [established] [precedence numero] [log] Per ricaricare la configurazione da tftp server: Router(config)#interface FastEthernet 0/0 Router(config-if)#ip address 192.168.0.205 Router(config-if)#no shutdown Router(config)#configure network Saranno richieste a questo punto: − host − indirizzo ip del tftp server − nome del file da cui leggere Configurazione access-list standard ( 1-99 ) gruppo9(config)#access-list 1 permit host 192.168.0.6 Concede connessioni di “qualsiasi tipo” solo all'host specificato ( ogni access-list termina implicitamente con un deny any ). gruppo9(config)#interface FastEthernet 0/0 gruppo9(config-if)#ip access-group 1 in Viene associata la regola 1 all’interfaccia eth0. La differenza fra IN e OUT è che: con IN viene prima controllata la regola e poi viene fatto routing con OUT prima viene fatto routing e poi viene controllata la regola. Di default è settato OUT. gruppo9(config-if)#ip access-group 1 out gruppo9(config-if)#no shutdown Configurazione access-list estese ( 100-199 ) Con questa access-list viene consentita solo la connessione telnet dalla rete 172.16.3.0 verso la rete 172.16.4.0 e viceversa. gruppo9(config)#access-list 100 permit telnet 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 eq telnet gruppo9(config)#access-list 100 permit telnet 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq telnet ( access-list 100 deny any any – implicito ) Per associare un’access-list estesa ad un’interfaccia il procedimento è identico a quello per le ACL standard. Routing statico Configurazione interfacce seriali Per configurare le interfacce seriali la procedura è praticamente uguale a quella per configurare l’interfaccia ethernet. gruppo9(config)#interface serial 0/0 gruppo9(config-if)#ip address 172.3.0.1 255.255.255.252 gruppo9(config-if)#no shutdown gruppo9(config)#interface serial 0/1 gruppo9(config-if)#ip address 172.5.0.2 255.255.255.252 gruppo9(config-if)#no shutdown gruppo9(config)#interface FastEthernet 0/0 gruppo9(config-if)#shutdown Per controllare se abbiamo le interfacce seriali in modalità DCE o DTE, si usa il comando: gruppo9#show controller serial 0/x In caso di modalità DCE, si deve settare opportunamente il clock rate con valore 56000 mediante il comando: gruppo9(config-if)#clock rate 56000 Per controllare il corretto funzionamento delle interfacce così configurate, abbiamo usato un ping verso i diretti “vicini”. Ora è possibile procedere con l’inserimento delle rotte statiche. gruppo9(config)#ip serial 0/0 gruppo9(config)#ip serial 0/0 gruppo9(config)#ip serial 0/0 gruppo9(config)#ip serial 0/1 gruppo9(config)#ip serial 0/1 gruppo9(config)#ip serial 0/1 gruppo9(config)#ip serial 0/1 gruppo9(config)#ip serial 0/1 route 172.1.0.0 255.255.255.252 route 172.2.0.0 255.255.255.252 route 172.3.0.0 255.255.255.252 route 172.5.0.0 255.255.255.252 route 172.6.0.0 255.255.255.252 route 172.7.0.0 255.255.255.252 route 172.8.0.0 255.255.255.252 route 172.9.0.0 255.255.255.252 Per testare il corretto funzionamento del sistema, si usano i comandi ping e traceroute. Per visualizzare le rotte definite, si utilizza il comando: gruppo9#show ip route Routing dinamico Per il routing dinamico, si sono utilizzati tre tipi di protocolli diversi: Rip, Eigrp e Ospf. Innanzitutto è necessario eliminare tutte le rotte statiche definite in precedenza. Per eliminare una rotta statica: gruppo9(config)#no ip route [addr] [mask] Dopodichè si deve attivare il routing con: gruppo9(config)#ip routing RIP Per prima cosa bisogna abilitare il protocollo RIP: gruppo9(config)#router rip gruppo9(config-router)#network 172.7.0.0 gruppo9(config-router)#network 172.6.0.0 gruppo9(config-router)#network 172.10.0.0 Gli indirizzi indicati rappresentano le sottoreti direttamente collegate. Per disabilitare il protocollo RIP si utilizza il comando: gruppo9(config)#no router rip EIGRP Prima di tutto bisogna abilitare il protocollo EIGRP per una determinata zona ( nel nostro caso si è scelta la zona 1) gruppo9(config)#router eigrp 1 gruppo9(config-router)#network 172.7.0.0 0.0.0.3 gruppo9(config-router)#network 172.6.0.0 0.0.0.3 Gli indirizzi indicati rappresentano le sottoreti direttamente collegate con le relative wildcard. Nonostante non strettamente necessario, si possono specificare i diretti vicini mediante il comando NEIGHBOR: gruppo9(config-router)#neighbor 172.7.0.1 serial 0/0 gruppo9(config-router)#neighbor 172.6.0.1 serial 0/1 Per disabilitare il protocollo EIGRP sull’AS 1 si utilizza il comando: gruppo9(config)#no router eigrp 1 OSPF Per prima cosa bisogna abilitare il protocollo OSPF ( nel nostro caso versione 1 ): gruppo9(config)#router ospf 1 gruppo9(config-router)#network 172.7.0.0 0.0.0.3 area 1 gruppo9(config-router)#network 172.6.0.0 0.0.0.3 area 1 Gli indirizzi indicati rappresentano le sottoreti direttamente collegate con le relative wildcard, e in quale AS ( 1 ) devono essere considerate. Per controllare lo stato dell’aggiornamento delle tabelle di routing, si può utilizzare il comando: gruppo9#show ip ospf database Nonostante non strettamente necessario, anche in questo caso si possono specificare i diretti vicini mediante il comando NEIGHBOR. Per disabilitare il protocollo OSPF utilizza il comando: gruppo9(config)#no router ospf 1 Per controllare quali rotte conosce il router in un certo instante, si utilizza il comando: gruppo9#show ip route Per testarne l’effettiova funzionalità, si possono utilizzare tool come ping e traceroute.