Gesamtzahl der Seitenaufrufe

Dienstag, 20. September 2011

Cisco Discovery Packet Tracer Modul 2, Kapitel 9, Teil 2

Kapitel 9:
925 WAN Encapsulation Mismatches:
Die Encapsulation muss auf beiden Enden der seriellen Verbindung gleich sein, sonst funktioniert die Kommunikation nicht und man kann in "show interface" die Meldung finden: "Serial0/0/0 is up, line protocol is down (disabled)"
Auf echtem Cisco-Equipment sollte man die Ausgabe nach bestimmten Wörtern oder Zeilennummern filtern können.


931 Troubleshooting a Small IP Network:
"IP address block of 172.16.30.0 /23" -> Subnetzmaske 255.255.254.0, 510 Hosts (es überschreitet also die Grenzen unseres gewohnten "C-Class" Netzes)
"Subnet A has 174 hosts while Subnet B has 60"
-> Für Subnetz A braucht man ein /24er Netz (Platz für 254 Hosts), für B reicht ein /26er Netz (62 Hosts)
-> Die Angaben in der Tabelle sind nicht ganz korrekt; für Subnetz B ist ein /25er Netz verschwenderisch, also:
Subnetzmaske: 255.255.255.192, Last IP host address: 172.16.31.62, aber sonst passt's.

Aber: Diese Lösung wird nicht als richtig gewertet.
Übernimmt man jedoch die Werte von Subnet B aus der Tabelle (172.16.31.126 / 255.255.255.128), bekommt man die Punkte. Offenbar wurde vom Ersteller der Aufgabe ein /25er Netz vorgesehen, obwohl in den Kursmaterialen steht, dass man so sparsam wie möglich mit den Adressbereichen umgehen soll. Ich kann keine Regel finden, die es verbietet, eine Subnetzmaskengröße zu überspringen. Wenn jemand eine Erklärung dafür hat, bitte kommentieren.

- Weiterhin korrigiert werden muss die Konfiguration von fa0/0: Die IP-Adresse beinhaltete eine .31., es muss aber wie in der Tabelle .30. heißen.
- "no shutdown" bei beiden Interfaces absetzen


934 Troubleshooting DHCP and NAT:
Was ist vorgegeben? -> show run:

a) NAT wird auf Router R2 durchgeführt:
Show run bringt folgende Information zutage:
ip nat pool NAT_POOL 209.165.201.9 209.165.201.14 netmask 255.255.255.248
-> das sieht ok aus

weiterhin:
interface FastEthernet0/0
 ip address 172.16.20.1 255.255.255.0
 ip nat inside

interface Serial0/0/0
 ip address 172.16.0.2 255.255.255.252
 ip nat outside

interface Serial0/0/1
 ip address 209.165.201.1 255.255.255.252
 ip nat inside
-> bei den seriellen Interfaces wurde inside und outside vertauscht: Outside ist die Seite, von der die öffentliche IP kommt (vom ISP)

weiterhin:
access-list 1 permit 172.16.10.0 0.0.0.255
-> es fehlt der Eintrag für das 11er Netz:
R2(config)#access-list 1 permit 172.16.11.0 0.0.0.255

außerdem soll PAT aktiviert werden mit dem spezifizierten NAT_POOL:
R2(config)#ip nat inside source list 1 pool NAT_POOL overload
-> "overload" heißt nichts anderes als PAT, denn PAT kommt mit einer öffentlichen Adresse aus (statt mit einem Pool öffentlicher Adressen) - eine öffentliche Adresse wird also mit mehreren internen Adressen "überladen"; die Eindeutigkeit des Empfängers wird durch die interne Ersetzung von Ports gewährleistet
-> "list 1" haben wir als access-list mit zwei Einträgen definiert und umfasst die beiden internen Netzwerke an Router 1

außerdem:
"The www.customer.com server at 172.16.20.254 should be accessible by the Internet Host at IP address 209.165.201.30"
-> hier kann man die Server-Adresse statisch mappen: ip nat inside source static in.te.r.n ex.te.r.n
R2(config)#ip nat inside source static 172.16.20.254 209.165.201.30

-> man hat also das /29er Netzwerk als NAT-Pool für die dynamische Übersetzung von internen Adressen und zusätzlich noch eine feste Adresse für den Server, sodass er von draußen immer unter der gleichen Adresse erreichbar ist.


b) DHCP auf Router R1
Show run zeigt:
ip dhcp excluded-address 172.16.10.1 172.16.10.3

-> hinzugefügt werden muss der zweite ausgeschlossene Adressbereich:
R1(config)#ip dhcp ex 172.16.11.1 172.16.11.3

Show run zeigt weiterhin:
ip dhcp pool R1_LAN10
 network 172.16.0.0 255.255.0.0
 default-router 172.16.10.1
 dns-server 172.16.2.254
ip dhcp pool R1_LAN11
 network 172.16.11.0 255.255.255.0
 default-router 172.16.1.1
 dns-server 172.16.20.254

-> Fehler haben sich eingeschlichen in DHCP-Pool R1_LAN10:
R1(config)#ip dhcp pool R1_LAN10 // existierenden Pool bearbeiten
R1(dhcp-config)#dns 172.16.20.254 // nicht .2. sondern .20.
R1(dhcp-config)#network 172.16.10.0 255.255.255.0 // nicht das Netzwerkwerk zu R2, eine serielle Verbindung braucht kein DHCP

-> Fehler haben sich eingeschlichen in DHCP-Pool R1_LAN11:
R1(config)#ip dhcp pool R1_LAN11
R1(dhcp-config)#default-router 172.16.11.1 // muss die IP-Adresse des Interfaces sein, mit dem das Netzwerk verbunden ist, das per DHCP Adressen bekommen soll


941 Applying Routing Table Principles:
In dieser Aufgabe kommen die Troubleshooting-Hinweise aus dem Nichts; besser man nutzt das tracert-Tool um Hinweise zu erhalten, wo's klemmt:














Man sieht hier schon, dass es nach der 192.168.4.1 nicht weitergeht -> die Route fehlt
R1(config)#ip route 192.168.4.0 255.255.255.0 192.168.2.2
(192.168.2.2 ist der nächste Hop in Richtung PC3 von R1 aus gesehen)














 Jetzt sieht man, dass sich die Ausgabe verändert hat: Es erreicht den nächsten Router, wird aber nicht vom übernächsten Router (R3) beantwortet

Von R2 aus kommt man jedoch zu PC3:
R2#traceroute 192.168.4.10
Type escape sequence to abort.
Tracing the route to 192.168.4.10

  1   192.168.3.2     7 msec    3 msec    3 msec   
  2   192.168.4.10    9 msec    5 msec    9 msec   

Es muss also etwas mit dem Rückkanal zu R1 nicht in Ordnung sein, sodass die Pakete zwar gesendet aber nicht zurück geroutet werden können.
Also schauen wir uns mal wie von Cisco vorgeschlagen die Routingtabelle von R3 an:

R3#sh ip ro
R    192.168.2.0/24 [120/1] via 192.168.3.1, 00:00:11, Serial0/0/1
C    192.168.3.0/24 is directly connected, Serial0/0/1
C    192.168.4.0/24 is directly connected, FastEthernet0/0
C    192.168.5.0/24 is directly connected, Serial0/0/0
R    192.168.6.0/24 [120/1] via 192.168.5.2, 00:00:25, Serial0/0/0
R    192.168.7.0/24 [120/1] via 192.168.5.2, 00:00:25, Serial0/0/0
                    [120/1] via 192.168.3.1, 00:00:11, Serial0/0/1

Und welch Überraschung, die Route zu R1 fehlt, also fügen wir sie ein:

R3(config)#ip route 192.168.1.0 255.255.255.0 Serial 0/0/1
(hier wurde mal das Interface verwendet statt Next Hop; macht in der Praxis keine Unterschied, bei der Bewertung der PacketTracer-Aufgaben schon)
Eingestellt von um Keine Kommentare:

Sonntag, 18. September 2011

Cisco Discovery Packet Tracer Modul 2, Kapitel 9, Teil 1

Kapitel 9:
924 Configuring and Troubleshooting a Switched Network

- Nach dem Anbringen des Console-Kabel sollte die Prozentanzeige auf 8% stehen, aber sie steht nur auf 7%, aber das ist ok, am Ende passt's wieder.

- switchport mode access wird für alle Interfaces eingestellt, die mit Geräten verbunden sind, die keine Switches sind; bei Verbindungen zu Switches wird trunk eingestellt

- Das Kommando für den Default Gateway ist unter dem Befehl "ip" zu finden:
S1(config)#ip default-gateway 172.17.99.1

- Die Uhrzeit stellt man vom privileged exec mode aus ein, nicht vom global configuration mode (also vorher exit tippen)
S1#clock set ?
  hh:mm:ss  Current Time
S1#clock set 02:41:00 SEPTEMBER 18 2011
S1#sh clock
*2:41:10.300 UTC So Sep 18 2011
(wird nicht bewertet)

- S1(config)#service password-encryption
wird verlangt

- Konsolen- und Telnetpasswörter setzen:
R1(config)#line con 0
R1(config-line)#pass cisco
R1(config-line)#login
R1(config-line)#exit
R1(config)#line vty 0 4
R1(config-line)#pass cisco
R1(config-line)#login

- Banner setzen
S1(config)#banner motd $Authorized Access Only$
-> wichtig sind die Dollar-Zeichen


- Duplex / Speed bestimmen:
S1#sh int fa0/1
FastEthernet0/1 is up, line protocol is up (connected)
  Hardware is Lance, address is 00d0.bc02.2e01 (bia 00d0.bc02.2e01)
 BW 100000 Kbit, DLY 1000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 100Mb/s ...

S1#sh int fa0/18
FastEthernet0/18 is down, line protocol is down (disabled)
  Hardware is Lance, address is 00d0.bc02.2e12 (bia 00d0.bc02.2e12)
 BW 100000 Kbit, DLY 1000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Half-duplex, 100Mb/s ...

- Duplex korrigieren bei fa0/18 und fa0/24:
S1(config-if)#int fa0/24
S1(config-if)#duplex full


- Port Security:
S1(config-if)#int fa0/18
S1(config-if)#swi mode access
S1(config-if)#swi port-security
S1(config-if)#swi port-security max 1
S1(config-if)#swi port-security mac-address sticky
-> nur das letzte Kommando wird bewertet

- alle nicht verwendeten Ports deaktivieren für Schreibfaule - "range" verwenden:
S1(config)#int range fa0/2 - 17, fa0/19 - 23, g1/1 - 2
S1(config-if-range)#shu

- Konfiguration von NVRAM sichern:
R1(config)#do copy run start
Eingestellt von um Keine Kommentare:

Cisco Discovery Packet Tracer Modul 2, Kapitel 6 bis 8


Kapitel 6:
611 Configuring Static and Default Routes:
Routen müssen definiert sein, sodass eine Kommunikation zwischen Netzwerken möglich ist, zwischen denen mehr als ein Router liegt.
Default Routes werden immer dann vom gewählt, wenn kein passender Eintrag in der Routing-Tabelle gefunden wurde,
Static Routes im Unterschied zu Dynamic Routes geben fest vor, welches Interface des Routers oder welcher nächste Hop zu einem bestimmten Netzwerk führt


615 Configuring RIP:
- Subnetzmaske für /8er Netzwerke ist 255.0.0.0, für /16er 255.255.0.0 und für /24er 255.255.255.0
- die Clockrate wird nur an einem Endpunkt einer seriellen Verbindung gesetzt, und zwar an der DCE-Seite (Master), nicht an der DTE-Seite (Slave); in PacketTracer wird das durch eine kleine Uhr an dem Interface gekennzeichnet, wenn man mit der Maus über das Kabel fährt.

SVC01(config-if)#int s0/0/0
SVC01(config-if)#ip add 192.168.1.1 255.255.255.0
SVC01(config-if)#no shu
SVC01(config-if)#clock rate 64000

- RIP ist das einfachste dynamische Routingprotokoll bei Cisco; man muss einfach im RIP-Modus die Netzwerk-Adressen eingeben (keine IP-Adressen von Geräten. In einem /24er Netzwerk enden die Netzwerk-Identifikationsadressen auf .0; siehe auch Übung 413)

SVC01(config)#router rip
SVC01(config-router)#network 192.168.2.0
SVC01(config-router)#network 192.168.1.0
SVC01(config-router)#network 10.0.0.0

- Server0:
Erste nutzbare IP im 10.0.0.0 /8-Netzwerk is 10.0.0.1
Default Gateway ist die IP des Router-Interfaces fa0/0, also 10.0.0.254

- Mein "Geheimtipp" für das Konfigurieren dynamischer Routingprotokolle: "show ip route" eintippen, die mit "c" markierten direkte verbundenen Netzwerk-Adressen kopieren und bei RIP nach dem network-Befehl eingeben; so braucht man sich keine Gedanken darüber zu machen, wie die korrekte Netzwerk-Identifikationsadresse lautet, denn in der Ausgabe von "show ip route" steht es genau so drin, wie es von RIP gebraucht wird. Der Befehl funktioniert aber erst, wenn die Interfaces mit IP-Adressen konfiguriert worden sind.

RTR01(config)#do sh ip ro
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

C    172.16.0.0/16 is directly connected, FastEthernet0/1
C    192.168.0.0/24 is directly connected, FastEthernet0/0
C    192.168.1.0/24 is directly connected, Serial0/0/0

RTR01(config)#router rip
RTR01(config-router)#network 172.16.0.0
RTR01(config-router)#network 192.168.0.0
RTR01(config-router)#network 192.168.1.0

- PC1
Zweite nutzbare IP-Adresse in 172.16.0.0 /16 ist 172.16.0.2, und so weiter.


Kapitel 8:
822 Planning Network-based Firewalls:
Anleitung folgen, fertig.

824 Configuring WEP on a Wireless Router:
Man kann sich Arbeit sparen, indem man sofort den Key in der Wireless Workstation eingibt; die geänderte SSID wird automatisch vom Wireless Router übernommen (siehe auch Übung 935 von Modul 1)
Eingestellt von um Keine Kommentare:

Samstag, 17. September 2011

Cisco Discovery Packet Tracer Modul 2, Kapitel 2 bis 5


Kapitel 2:
231 Troubleshooting and Resolving Network Issues:
Default Gateway auf PC1A muss 192.168.3.30 nicht 192.168.3.31 sein










Kapitel 3:
333 Exploring Different LAN Switch Options:
- Router0 hat ein Fast Ethernet-Interface, deshalb braucht man die gleichen am Switch (nicht Gigabit Ethernet)

- Als Faustregel für die Kabelauswahl bei PacketTracer gilt:
Crossover-Kabel für: Gleichartige Geräte (PCs, Server) miteinander, Wireless Router zu Switch, Access Point zu Router
Straight-Through-Kabel für: PC zu Switch, Router zu Switch, PC zu Router, Wireless Router zu Router
(reale Switches ist normalerweise intelligent genug, mit beiden Kabelarten zu funktionieren)


334 Exploring Internetworking Devices:
- In Router1 einbauen: 4 Switching Ports linker Slot, seriell rechter Slot










- Router zu Router wird über die serielle Schnittstelle verbunden (hier spielt es noch keine Rolle, ob das Kabel mit oder ohne Uhr ausgewählt wird)
- Access Point zu Router über Crossover
- PCs zu Router über Straight-Through (PC0 auf Fa0/1/0 und PC1 auf Fa0/1/1)
- am Schluss im Config-Tab von Router1 alle Port-Checkboxen auf "on" stellen (sollte man in einem Firmennetzwerk wohl nicht machen ;))


Kapitel 4:
413 Implementing an IP Addressing Scheme:
Adressraum ist 192.168.1.0/24 (d.h. von 192.168.1.0 bis 192.168.1.255), LAN-A braucht Platz für 50 Hosts, LAN-B braucht Platz für 40 Hosts
-> es wird beides Mal ein /26er Netz gebraucht, weil:
Der ganze Adressraum /24 hat 8 Hostbits und Platz für 254 Hosts [mathematisch: ((2 hoch Anzahl_Hostbits) minus 2), weil die erste Adresse das Netzwerk identifiziert und die letzte Adresse für Broadcast reserviert ist].
/25 würde das Netz in zwei gleich große Hälften zu je 126 (2^7-2) Hosts spalten; das ist Platzverschwendung, falls man später noch weitere Subnetze dranhängen will,
/26 würde 62 (2^6-2) Hosts zulassen,
/27 würde 30 (2^5-2) Hosts zulassen, das ist zu wenig für diese Aufgabenstellung

-> Subnetz0 geht von 192.168.1.0 bis 192.168.1.63 mit der ersten gültigen Hostadresse 192.168.1.1 und der letzten gültigen Hostadresse 192.168.1.62
-> Subnetz1 geht von 192.168.1.64 bis 192.168.1.127 mit der ersten gültigen Hostadresse 192.168.1.65 und der letzten gültigen Hostadresse 192.168.1.126

-> die Subnetzmaske ist 255.255.255.192, weil nur 6 Bits für die Host-Adressierung übrig bleiben, also:
ssssssss.ssssssss.ssssssss.sshhhhhh oder binär 11111111.11111111.11111111.11000000, und 11000000 dezimal umgerechnet ist 192

Exkursion "binär im Kopf in dezimal umrechnen" für 11000000:
2^7 + 2^6 + 0^5 + 0^4 + 0^3 + 0^2 + 0^1 + 0^0 = 128+64+0+0+0+0+0+0 = 192

- Default Gateway auf den PCs ist die jeweilige Subnetzadresse, die im Router bei Fast Ethernet eingetragen wurde (LAN-A 192.168.1.1, LAN-B 192.168.1.65)
- Nicht vergessen die Ports im Router auf "on" zu stellen


415 Communicating Between Subnets:
MyServer (.45) und myRouter (.33) sind im gleichen Subnetz, aber myPC (.65) ist in einem anderen, denn:
/27 heißt 30 Hosts zu 8 Subnetzen; Subnetzmaske ist 240.
Subnetz0: .0 bis .31, Host-Adressen sind .1 bis .30
Subnetz1: .32 bis .63, Host-Adressen sind .33 bis .62
Subnetz2: .64 bis 95, Host-Adressen sind .65 bis .94
und so weiter
-> die Adresse von myPC muss 192.168.1.34 sein


534 Performing an Initial Router Configuration:
Hier kann man eigentlich nicht viel falsch machen. Tipp: Befehle können abgekürzt oder mit der Tab-Taste automatisch ergänzt werden; zB. anstelle von "show running-config" kann man "sh run" tippen. Wenn man nicht den Modus für show-Befehle wechseln will, kann man den Befehl "do" davor setzen, also zB:
CustomerRouter(config)#do sh run
Das Kommando "no ip domain-lookup" sollte man sich für später merken...


535 Configuring Ethernet and Serial Interfaces:
So kurz geht's:
CustomerRouter>en
CustomerRouter#conf t
CustomerRouter(config)#int s0/1/0
CustomerRouter(config-if)#des Connected to ISP
CustomerRouter(config-if)#ip add 209.165.200.225 255.255.255.224
CustomerRouter(config-if)#no shu

Statt "end" zu tippen, kann man die Tastenkombination Strg+c verwenden


536 Configuring a Default Route:
Eine Default Route wird nach folgendem Rezept eingestellt:
CustomerRouter(config)#ip route 0.0.0.0 0.0.0.0 [IP-Adresse des Nachbar-Routers (von dem Interface, mit dem unser Router verbunden ist)]


537 Configuring a Cisco Router as a DHCP Server:
Anleitung folgen, fertig in 3 Sekunden.
-> Adressen von der Verteilung ausschließen:
ip dhcp excluded-address 192.168.1.1 192.168.1.49
-> Namen vergeben
ip dhcp pool pool1
-> Adressen zur Verteilung freigeben (/24er Netzwerk, die oben ausgeschlossenen werden später nicht verteilt)
network 192.168.1.0 255.255.255.0
-> DNS-Server zur Übersetzung der IP-Adressen angeben
dns-server 192.168.1.10
-> Default-Gateway setzen
default-router 192.168.1.1


538 Configuring Static NAT on a Cisco Router:
NAT inside ist immer das lokale Netzwerk, NAT outside das Interface zum Internet
CustomerRouter(config)#int fa0/0
CustomerRouter(config-if)#ip nat in
CustomerRouter(config-if)#int s0/0/0
CustomerRouter(config-if)#ip nat out
CustomerRouter(config)#ip nat in source static 192.168.1.10 209.165.200.227
-> Verbindet den CustomerServer mit einer im Internet verwendbaren öffentlichen IP-Adresse (keine bereits verwendete Interface-Adresse)

Wenn man sich vertippt hat, zB so:
CustomerRouter(config)#ip nat in source static 192.168.1.10 209.165.200.226
Bleibt die Route eingetragen bis man den "no"-Befehl verwendet mit dem exakten Kommando, das den Fehler eingetragen hat:
CustomerRouter(config)#no ip nat in source static 192.168.1.10 209.165.200.226


553 Performing an Initial Switch Configuration:
- das "login"-Kommando nicht vergessen bei den Line-Konfigurationen
- Ein Switch braucht eigentlich keine IP-Adressen um zu funktionieren, aber man konfiguriert vlan 1 mit einer Management-Adresse um den Switch per Ethernet-Verbindung (im Moment gehen wir über Console) unter dieser Adresse zum Konfigurieren erreichen zu können. VLAN 1 ist kein physikalisches Interface wie fa0/1.


554 Connecting a Switch:
- alles Straight-Through-Kabel
Eingestellt von um Keine Kommentare:

Freitag, 16. September 2011

Cisco Discovery Packet Tracer Modul 1

Kapitel 3:
357 Learn to Use Packet Tracer:
Werden keine grünen Lämpchen angezeigt, geht trotzdem. IP-Adressen und Subnetzmasken nach Vorgabe eintragen, fertig.

362 Prototyping a Network:
IP-Adresse von PC0 ist 192.168.10.10, von PC1 ist 192.168.10.11, dann können sie sich über den Switch anpingen.

Kapitel 5:
533 Configuring DHCP on a Multi-function Device:
Linksys-WRT300N ist ein Wireless Router
Ist egal, ob DHCP auf den PCs bei FastEthernet eingestellt wird oder bei globale Settings.
Die Aufgabe zickt ein wenig herum, wenn einer der PCs die IP 192.168.5.25 zugeteilt bekommt; dann einfach noch mal in der PC-Konfiguration "static" auswählen und wieder zu "DHCP" umstellen. Das sollte eine höhere IP-Adresse zuteilen und die Aufgabenstellung springt zu 100%.
Anmerkung: Es kann ein durchaus ein bis zwei Minuten lang dauern, bis die hinzugefügten PCs eine DHCP-Adresse erhalten; erst dann springt die Prozentanzeige auf 100. Auch nicht davon irritieren lassen, dass nach dem Speichern die Prozentanzeige wieder bei 40% steht - das springt schrittweise automatisch wieder auf 100%.

543 Examining NAT on a Multi-function Device:
Router-Seite: public IP address
Local Network-Seite: private addresses
Anmerkung: Es kann ein durchaus ein bis zwei Minuten lang dauern, bis die 4 hinzugefügten PCs eine DHCP-Adresse erhalten; erst dann springt die Prozentanzeige auf 100. Auch nicht davon irritieren lassen, dass nach dem Speichern die Prozentanzeige wieder bei 50% steht - das springt schrittweise automatisch wieder auf 100%.

Kapitel 9:
923 Using the Ipconfig Command:
Gateway PC2 falsch (192.168.10.1) -> 192.168.1.1










924 Using the Ping Command:
DNS-Server von PC2 falsch (191.15.2.5) -> 192.15.2.5
Sinn der Übung: Wenn ein Ping zum Webserver erfolgreich ist, der Seitenaufruf aber nicht, dann prüfe den DNS-Server-Eintrag im PC [eine Minute warten bis die Webseite angezeigt wird]

935 Troubleshooting a Wireless Connection:
Man sieht schon, dass PC1 nicht per WLAN (wie PC2) oder Kabel (Wie PC3 und PC4) verbunden ist (kurz warten bis sich die Verbindungen aufgebaut haben).
Infos von dem verbundenen PC holen: PC2, klicke in dem Wireless-Programm auf dem Desktop auf den Button "more information"
-> SSID "Academy" (wird bekannt gegeben), Security: WEP,
IP Address......................: 192.168.1.102
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.1.1
DNS Servers.....................: 192.15.2.5

Lösung: WEP-Key in PC1 eingeben: ABC123DE45
(wireless GUI: Connect -> connect -> [key])

Eingestellt von um Keine Kommentare:

Donnerstag, 14. April 2011

Cisco Packet Tracer Tipps & Tricks & Interessantes

Tippfaul?
1. Kommandos müssen nicht ausgeschrieben werden
Der Befehl "switchport port-security mac-address sticky" kann zu "sw po mac s" verkürzt werden, oder was sich besser merken lässt: "swi port mac sticky"... man muss nur wissen, ab welchem Buchstaben die Kommandos eindeutig werden.
Ebenfalls können Befehle mit der Tab-Taste automatisch vervollständigt werden

2. Man muss nicht "exit" tippen um in den privileged EXEC mode zurück zu kommen; es reicht die Tastenkombination Strg + c

3. Man muss gar nicht in den privileged EXEC mode wechseln um show-Kommandos absetzen zu können, denn es gibt den Befehl "do":
R1(config-if)#do show ip int br
oder auch andere Kommandos, die in diesem Modus nicht verfügbar sind wie ping:
 R1(config-if)#do ping 192.168.1.2

4. Wer es leid ist, ständig die Passwörter beim Konfigurieren eintippen zu müssen (oder sie vergessen hat...) kann einfach im Config-Tab des zu konfigurierenden Geräts zum Beispiel auf ein Interface klicken, wodurch die Passwortabfrage übersprungen wird um man direkt im If-Config-Modus ist:












Ping-Probleme?
1. Wenn man zu früh die Verbindungen (connectivity) testet, kommt man zu falschen Ergebnissen, weil das Netzwerk erst konvergieren muss. Dies geht schneller, wenn man ein paar Mal zwischen Realtime- und Simulationsmodus hin und her wechselt.

2. Wenn man die Funktion "Add Simple PDU" verwendet, kann es vorkommen, dass der erste Ping fehlschlägt (Anzeige: "failed"), deshalb einfach einen zweiten Ping absetzen, denn die ARP-Tabelle muss sich erst aufbauen.

















 Interessant: Packet-Tracer kann Passwort-Recovery
Wenn der simulierte Router startet, kann mit der Untbr-Taste in den ROMmon-Modus gewechselt werden. Dort kann das Start-Register von 0x2102 auf 0x2142 umgestellt werden.

Self decompressing the image :
################################
monitor: command "boot" aborted due to user interrupt   rommon 1 > confreg 0x2142
rommon 2 > reset
System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)
Cisco 1841 (revision 5.0) with 114688K/16384K bytes of memory.

Der Router startet neu und so lange das Register auf 0x2142 steht, werden alle Konfigurationen und Passwörter ignoriert, aber man kann sie sich in der Startup-config anzeigen lassen.

Eingestellt von um Keine Kommentare:

Cisco CCNA Security - Kapitel 9: Configure a Network for Secure Operation

Die letzte Packet Tracer-Aufgabe ist eine Komplex-Übung. Sagen wir's so: sie ist in endlicher Zeit machbar...
Tischplattenbeißpotential:



1. Passwörter und Passwort-Sicherheit konfigurieren
R1(config)#security passwords min-length 10
-> alle Passwörter müssen mindestens 10 Zeichen lang sein
R1(config)#enable secret ciscoenpa55
R1(config)#service password-encryption
-> Passwörter werden nicht im Klartext in der running-config angezeigt

2. Console-Zugang mit Passwort versehen und Inaktivitäts-Timeout setzen
R1(config)#line con 0
R1(config-line)#pass ciscoconpa55
R1(config-line)#login
R1(config-line)#exec-timeout 5
R1(config-line)#logging synchronous
-> verhindert, dass Meldungen beim Eintippen der Befehle stören

3. VTY-Zugang und Banner setzen
R1(config)#line vty 0 4
R1(config-line)#pass ciscovtypa55
R1(config-line)#login
R1(config-line)#exec-t 5
R1(config)#banner motd $No Unauthorized Access!$
-> wird beim Einloggen angezeigt

4. Local Authentication / AAA aktivieren
R1(config)#username Admin01 secret Admin01pa55
-> Nutzer in der lokalen Datenbank anlegen
R1(config)#aaa new-model
R3(config)#aaa authentication login default local none
-> Der Parameter "none" muss hier explizit geschrieben werden ("no backup method")

R1(config)#line vty 0 4
R1(config-line)#login authentication default
-> Die Authentifizierungsliste muss auch am vty-Zugang angebracht werden

5. NTP auf R1 konfigurieren mit Authentifizierung (NTP authentication)
-> das heißt, es wird ein Schlüssel konfiguriert um eine vertrauenswürdige zentrale Quelle für die Uhrzeit zu erhalten. Geräte, die ohne Schlüssel konfiguriert wurden, bekommen aber trotzdem die Zeit vom NTP-Server.
R1(config)#ntp authenticate
R1(config)#ntp server 192.168.1.5 key 1
-> die key-nummer nicht vergessen, denn voreingestellt steht sonst "0" in der running-config
R1(config)#ntp authentication-key 1 md5 ciscontppa55
-> dieser Schlüssel (ciscontppa55) muss im NTP-Server (PC-A) hinterlegt werden: Im Config-Tab NTP wählen, mit "on" aktivieren, mit "enable" Authentifizierung aktivieren, und die Key-Nummer (1) den Schlüssel (ciscontppa55) rechts daneben eingeben.
R1(config)#ntp trusted-key 1
R1(config)#ntp update-calendar
-> Hardware-Clock aktualisieren lassen

6. Syslog auf R1 konfigurieren und aktivieren
R1(config)#service timestamps log datetime msec
-> Zeitstempel für Log-Nachrichten aktivieren
R1(config)#logging 192.168.1.6
-> Syslog-Server
R1(config)#ip ips notify log
R1(config)#loggin on

7. SSH auf R3 konfigurieren
R3(config)#ip domain-name ccnasecurity.com
-> SSH braucht einen Domain-Namen
R3(config)#crypto key zeroize rsa
-> eventuell vorhandene Schlüssel werden gelöscht
R3(config)#crypto key generate rsa
-> ein neues RSA-Schlüsselpaar wird generiert
R3(config)#ip ssh authentication-retries 2
R3(config)#ip ssh time-out 90
R3(config)#ip ssh version 2

8. CBAC auf R1 konfigurieren
a) Eine IP ACL erstellen namens OUT-IN (to block all traffic originating from the outside network)
R1(config)#ip access-list extended OUT-IN
R1(config-ext-nacl)#deny ip any any
R1(config)#int s0/0/0
R1(config-if)#ip access-group OUT-IN in

b) Eine inspection rule erstellen (to inspect ICMP, Telnet and HTTP traffic)
R1(config)#ip inspect name IN-OUT-IN icmp alert on
R1(config)#ip inspect name IN-OUT-IN telnet alert on
R1(config)#ip inspect name IN-OUT-IN http alert on

c) Die IN-OUT-IN inspection rule ans Interface s0/0/0 outbound anbringen
R1(config)#int s0/0/0
R1(config-if)#ip inspect IN-OUT-IN out

9. Firewall (ZPF) auf R3 konfigurieren
a) Zonen erstellen
R3(config)#zone security IN-ZONE
R3(config-sec-zone)#exit
R3(config)#zone security OUT-ZONE

b) ACL 101 erstellen; erlaubt alle IP-Protokolle von 192.168.3.0/24 an jedes Ziel
R3(config)#acc 101 permit ip 192.168.3.0 0.0.0.255 any

c) Class map erstellen, die sich auf ACL 101 bezieht
R3(config)#class-map type inspect IN-NET-CLASS-MAP
R3(config-cmap)#match access-group 101

d) Policy map namens IN-2-OUT-PMAP erstellen und der class map IN-NET-CLASS-MAP zuordnen. Action: inspect
R3(config)#policy-map type inspect IN-2-OUT-PMAP
R3(config-pmap)#class type inspect IN-NET-CLASS-MAP
R3(config-pmap-c)#inspect

e) Zonenpaar namens IN-2-OUT-ZPAIR erstellen und Datenflussrichtung zuweisen
R3(config)#zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZON

f) Policy map und action "inspect" zuweisen
R3(config-sec-zone-pair)#service-policy type inspect IN-2-OUT-PMAP

g) Die Interfaces den Sicherheitszonen zuweisen
R3(config)#int fa0/1
R3(config-if)#zone-member security IN-ZONE
R3(config)#int s0/0/1
R3(config-if)#zone-member security OUT-ZONE

10. Die Switches (S1+S2+S3) absichern
a) Passwörter und Zugänge absichern
S1(config)#enable secret ciscoenpa55
S1(config)#service password-encryption
S1(config)#line con 0
S1(config-line)#password ciscoconpa55
S1(config-line)#login
-> Set the basic login parameter
S1(config-line)#exec-timeout 5
S1(config-line)#logging synchronous
S1(config)#line vty 0 4
S1(config-line)#pass ciscovtypa55
S1(config-line)#login
S1(config-line)#exec-t 5

b) Die Trunk-Ports auf S1 und S2 absichern, Storm Control aktivieren
S1(config)#int fa0/1
S1(config-if)#swi mode trunk
-> Der Modus "trunk" sollte immer nur zwischen zwei Switches aktiviert sein
S1#sh int trunk
-> Einstellungen verifizieren
S1(config-if)#swi native vlan 99
-> ungenutztes VLAN 99 verwenden um Angreifer zu ärgern
S1(config-if)#swi nonegotiate
S1(config-if)#storm-control broadcast level 50

c) Die Access-Ports absichern (Portfast, BPDU Guard, Port-Security); hier für S1 und S3
S1(config)#int range fa0/5 - 6 // zum Router hin ist auch ein Access-Port
S1(config-if-range)#swi mode access
S1(config-if-range)#span portfast
S1(config-if-range)#spanning-tree bpduguard enable
S1(config-if-range)#switchport port-security
S1(config-if-range)#switchport port-security mac-address sticky
-> für S2 ist es fast das Gleiche, muss aber für den Port fa0/18 konfiguriert werden

d) alle Ports außer die konfigurierten deaktivieren; Achtung bei S2, dort sind es wieder andere Portnummern
S1(config)#int range fa0/2 - fa0/4
-> Interfaces am besten gleich im Bereich ansprechen
S1(config-if-range)#shutdown
S1(config)#int range fa0/7 - fa0/24
S1(config-if-range)#shu
S1(config)#int range g1/1 - 2
S1(config-if-range)#shu
Eingestellt von um Keine Kommentare:
Abonnieren Posts (Atom)