1 – LABORATORIYA ISHI
TARMOQ QURILMALARIDA DASTLABKI XAVFSIZLIK
SOZLAMALARINI O’RNATISH
Ishdan maqsad : Kommutator qurilmasining tuzilishi, ishlash tamoyillari,
masofadan kirishni ta’minlash usullari hamda xavfsizlik ko’rsatkichlarini sozlash
qoidalarini tadqiq qilishdan iborat.
Ushbu laboratoriya ishida 1.1 – rasmda keltirilgan tarmoq tuzilishi bo`yicha
konfiguratsiya ishlari amalga oshiriladi.
1.1 – rasm. Tadqiq qilinayotgan tarmoq tuzilishi
1.1-jadval
Manzillash jadvali
Qurilma Interfeys
IP-manzil
Tarmoq
maska
Asosiy
shlyuz
S1
VLAN 1
192.168.1.100
255.255.255.0 192.168.1.1
PC-A
Tarmoq
adapteri
192.168.1.2
255.255.255.0 192.168.1.1
Topshiriq
1. Tarmoq qurilmasini asosiy ko‘rsatkichlarini sozlash
– Console porti orqali kommutatorning asosiy ko‘rsatkichlarini sozlang
– kompyuter uchun IP- manzilni o‘rnating.
– Telnet protokoli yordamida masofadan kirishni sozlang
– SSH protokoli yordamida masofadan kirishni sozlang
2. Tarmoq bog‘lanishni tekshiring
–
qurilmaning konfiguratsiyasini ko‘rsating
–
telnet yordamida uzoqdan boshqarishni testlang
–
kommutatorning hozirgi konfiguratsiyasini saqlang.
Qisqacha nazariy ma’lumotlar
Cisco IOS qurilmalarining buyruqlar satri interfeysi (CLI- Command Line
Interface) ga kirishning bir necha yo‘llari mavjud. Quyida eng keng tarqalgan usullar
keltirilgan:
– Console
– Telnet yoki SSH
– Port AUX
Console port — Konsol porti Cisco qurilmasini sozlash uchun tashqaridan
kirishni ta’minlaydigan boshqaruv portidir. Konsol portidan foydalanishning
afzalligi shundan iboratki, qurilmaga tarmoq xizmatlarini konfiguratsiya qilmasdan
ham kirish mumkin, masalan, tarmoq qurilmasining dastlabki konfiguratsiyasi
holatida. Boshlang‘ich konfiguratsiya bajarilganda, kompyuterning maxsus kabeli
(RS232) yordamida qurilmaning konsol portiga ulanadi va sozlash ishlari amalga
oshiriladi.
TELNET (terminal network) — tarmoq bo‘ylab qurilmalarga murojat qilish
uchun mo‘ljallangan tarmoq protokoli. Protokolning zamonaviy standarti RFC 854
da yozilgan.
TELNET
protokolining vazifasi
terminal qurilmalar o‘rtasida o‘zaro
ishlashni ta’minlashdan iborat. Bu protokol terminal-terminal ko‘rinishdagi aloqada
ishlatiladi.
Protokol Secureshell (SSH) — bu protokol uzoqdagi qurilmalarni
boshqarish uchun xavfsiz (shifrlangan) bog‘lanishni ta’minlaydi. Uzoqdagi
qurilmalarni boshqarish uchun Telnet protokoli o‘rniga SSH protokolini qo‘llash
tavsiya etiladi. Lokal tarmoqlarda Telnet ni qisqa vaqt uchun ishlatish mumkin.
Telnet eskirgan protokol hisoblanib, qurilmalar o‘rtasida ishlashda shifrlanmagan
xavfsiz
ma’lumot
ko‘rinishiga
o‘xshaganday
identifikatsiya
axborotlari
(foydalanuvchi nomi va paroli) ham ochiq uzatiladi. SSH uzoqdagi qurilmalar bilan
bog‘lanishda himoyani ta’minlaydi. Qurilmalarni autentifikatsiya (foydalanuvchi
nomi va paroli) ma’lumotlarini ishonchli shifrlaydi. Shuningdek qurilmalar
o‘rtasidagi uzatilayotgan ma’lumotlarni ham himoyalaydi. SSH TCP-port 22 ni,
Telnet TCP-port 23 ni ishlatadi.
AUX-Buyruqlar satri interfeysi (CLI) seansini o‘rnatish uchun eskirgan usul
xisoblanadi, u telefondagi dial-up bog‘lanishi yordamida routerning yordamchi
portiga (AUX) ulanadi. Shu tarzda, konsol aloqasi yordamida, yordamchi usul ham
tarmoqdan tashqari ulanishni ta’minlaydi va konfiguratsiya yoki tarmoq xizmatlarini
talab qilmaydi. Agar tarmoq xizmatlarining ishlashi buzilgan bo‘lsa, masofadan
boshqaruvchi kalit yoki routerga telefon liniyasidan kira oladi.
Kerakli resurslar:
– 1 ta kommutator (Cisco 2960 operatsion tizimi Cisco IOS 15.0(2), obraz
lanbasek9);
– 1 ta kompyuter (operatsion tizimi Windows 7, Vista yoki XP da emulyator
terminal dasturi, Masalan: Tera Term, Patty);
– cisco IOS qurilmasini konsol porti orqali sozlash uchun console kabeli;
– ethernet kabeli.
1. Kommutatorni sozlashni tekshirish
1.1.
Topologiyaga mos ravishda kabellarni ulang
a. Topologiyaga mos ravishda konsolli ulanishni o‘rnating. Bunda Ethernet
kabelini PC-A ga ulamang (bu real qurilmaga ulanishda).
b. Tarmoq qurilmasini sozlashda konsolli port yoki Telnet / SSH ulanish
uchun terminal (m: komp’yuter)da emulyatsiya dasturlari mavjud bo‘lishi kerak.
Ushbu dasturlardan ba’zilari quyidagilardir:
 PuTTY;
 Tera Term;
 SecureCRT;
 HyperTerminal;
 Terminal OS X.
Laboratoriya ishini bajarishda topologiyani qurish va Cisco kommutatoriga
konsol kabeli bilan bog‘lanish yoki uzoqdan kirish usuli (telnet yoki SSH) orqali
kirishga ruxsat olish kerak. Kommutatorning asosiy ko‘rsatkichlarini sozlashdan
oldin kommutatorning dastlabki xolatini tekshirish kerak. Kommutatorning bu
ko‘rsatkichlariga qurilmaning nomi, interfeysning nomi, lokal parollar, MOTD
(qurilmaga kirishda kiruvchini ogohlantiruvchi xabar) banneri, IP manzil, statik
MAC manzilni qo‘yilganligi kiradi.
1.2. Kommutatorni dastlabki xolatini tekshiring.
Kommutatorni dastlabki xolati: IOS ma’lumotlari, interfeys xususiyatlari,
VLAN va flesh – xotira to‘g‘risidagi ma’lumotlarni tekshiramiz.
Kommutator IOS ning barcha buyruqlari imtiyoz rejimida bajarish mumkin.
Imtiyoz rejimiga kirishda begonalarni qurilmadan foydalanishini oldini olish va
global konfiguratsiya rejimiga to‘g‘ridan to‘g‘ri o‘tib ketmaslik hamda ishchi
ko‘rsatkichlarni sozlash uchun ishlatiladigan buyruqlarga kirmaslik uchun parol
yordamida cheklash kerak.
Imtiyoz to‘plamiga foydalanuvchi rejimining buyruqlari kiradi. Shuningdek
boshqa buyruqli rejimlarga o‘tishni bajaruvchi configure buyrug‘i kiradi. Imtiyoz
rejimiga kirish uchun Enable buyrug‘ini kiriting.
a. Imtiyoz rejimiga o‘tish uchun foydalanuvchi rejimida kommutatorga
Switch> enable buyrug‘ini yozing.
Switch> enable
Switch#
Qatordagi o‘zgarish imtiyoz rejimiga o‘tganligiga e’tibor bering.
Kommutatorning konfiguratsiyasini tekshirish uchun imtiyoz rejimida show
running-config buyrug‘ini kiriting. Agar kommutatorda sozlangan fayllar
saqlangan bo‘lsa, ularni o‘chirib tashlang.
b. "Running configuration" faylini o‘rganing
Switch# show running-config
2960 kommutatori nechta FastEthernet interfeyslari mavjud? ________
2960 kommutatori nechta Gigabit Ethernet interfeyslari mavjud?
________
VTY-kanalining diapazon qiymati qancha? ________
c. VLAN 1 uchun SVI harakteristikalarini o‘rganing.
Switch# show interface vlan1
VLAN 1 tarmog‘i uchun IP-manzil qo‘yilganmi? ________
SVI qanday MAC-manzilga ega? _______________________
Ushbu interfeys yoqilganmi?
___________
Switch# show ip interface vlan1 qanday ma’lumotlar chiqdi?
d. Kommutatorning Cisco IOS operatsion tizimi to‘g‘risidagi ma’lumotni
o‘rganing. Switch# show version
Hozirda ishlab turgan kommutator qaysi Cisco IOS operatsion tizimda
ishlaydi? ______________________________________
Tizimning fayl obrazi qanday nomlanadi? _____________________
2. Tarmoq qurilmasini asosiy ko‘rsatkichlarini sozlash
2.1. Kommutatorning asosiy parametrlari: qurilmaning nomi, lokal parollar,
MOTD (qurilmaga kirishda kiruvchini ogohlantiruvchi xabar) banneri, boshqaruv
manzili va Telnet orqali kirishlarni sozlang
a. Agar kommutatorning NVRAM xotirasida konfiguratsiyaning fayli
saqlanmagan bo‘lsa, siz imtiyoz rejimda bo‘lasiz. Agar qator Switch> ga o‘zgargan
bo‘lsa enable ni yozing.
Switch> enable
Switch#
b. Global konfiguratsiya rejimiga o‘ting.
Switch# configure terminal
Switch(config)#
Global konfiguratsiya rejimini ko‘rsatish uchun qator yana o‘zgardi.
c. Kommutatorga nom bering.
Switch(config)# hostname S1
S1(config)#
d. Parolni shifrlanishini sozlang.
S1(config)# service password-encryption
S1(config)#
e. Imtiyoz rejimiga kirish uchun maxfiy parol sifatida class bering.
S1(config)# enable secret class
S1(config)#
f. MOTD (qurilmaga kirishda kiruvchini ogohlantiruvchi xabar) bannerini
sozlang.
S1(config)# banner motd # Qurilmaga kirish taqiqlanadi#
g. Rejimlarga o‘tishdagi o‘tishlarni sozlanganligini tekshiring.
S1(config)# exit
S1# exit
Foydalanuvchi rejimidan imtiyoz rejimiga o‘ting. Parol so‘ralganda class
ni kiriting.
S1> enable
Password:
S1#
Izoh: kiritishda Parol ko‘rinmaydi.
i. Kommutatorning SVI siga IP manzil qo‘yish uchun global rejimga kiring.
Bu esa kommutatorni uzoqdan boshqarish imkoniyatini beradi.
S1 kommutatorni uzoqdagi PC-A kompyuter orqali boshqarishdan oldin
kommutatorga IP manzil qo‘yish kerak. Kommutatorning dastlabki xolatidagi
konfiguratsiyaga asosan kommutatorni boshqarish VLAN 1 orqali amalga oshiriladi.
Kommutatorning ichki virtual interfeys (SVI) VLAN 1 ga IP manzil
192.168.1.100 va tarmoq maskasi 255.255.255.0 ni sozlang.
S1(config)# interface vlan1
S1(config-if)# ip address 192.168.1.100 255.255.255.0
S1(config-if)# no shutdown
S1(config-if)# exit
S1(config)#
3. Console konfiguratsiyasini sozlash
Konsol port orqali kirishni ham chegaralash kerak. Dastlabki xolatdagi
konfiguratsiyaga asosan barcha konsolli ulanishlar parolsiz sozlangan bo‘lishi kerak.
Konsol xabarlarini uzluksizligini ta’minlash uchun logging synchronous buyrug‘i
kiritiladi.
S1(config)# line console 0
S1(config-line)# password cisco
S1(config-line)# login
S1(config-line)# logging synchronous
S1(config-line)# exit
S1(config)#
4. Telnet konfiguratsiyasini sozlash
Kommutator telnet orqali kirishga ruxsat berishi uchun, ya’ni uzoqdan
boshqarish uchun virtual bog‘lanish kanali (vty) ni sozlash kerak. Agar vty paroli
qo‘yilmasa telnet orqali qurilmaga kirib bo‘lmaydi.
S1(config)# line vty 0 15
S1(config-line)# password cisco
S1(config-line)# login
S1(config-line)# end
5. SSH konfiguratsiyasini sozlash
SSH protokolini sozlashdan oldin kommutatorda tugunning maxsus nomini
va tarmoq ulanishining mos keluvchi ko`rsatkichlarini ko‘rsatish lozim.
1 – qadam. SSH protokolini borligini tekshirish
SSH protokoli borligini bilish uchun show ip ssh buyrug‘i beriladi. Agar
kommutatorda kriptografik funksiyani qo‘llab quvvatlovchi IOS bo‘lmasa, bu
buyruq ishlamaydi.
2 – qadam. IP domenni sozlash
Tarmoqning IP domenini global konfiguratsiya rejimida ip domain-name
domen nomi yordamida ko‘rsating. 1.2 – rasmda domen nomi cisco.com qilib
olingan.
1.2– rasm. Uzoqdagi qurilmani boshqarish uchun SSH protokolini sozlash
3– qadam. RSA kalitlarini yaratish
IOS ning hamma versiyalarida ham SSH ning 2 versiyasi ishlatilmaydi. SSH
ning 1 versiyasida ma’lum zaifliklar mavjud. SSH ni sozlash uchun global
konfiguratsiya rejimida ip ssh version 2 buyrug‘i beriladi. Juft RSA kalitlari
yaratilganda SSH protokoli avtomatik ishga tushadi. Kommutatorda SSH serverini
ishlatish va juft RSA kalitlarini generatsiya qilish uchun global konfiguratsiya
rejimida crypto key generate rsa buyrug‘i kiritiladi. RSA kalitlarini yaratishda
administratordan modulni uzunligini kiritish talab etiladi. Modulning uzunligi 1024
bit bo‘lishi tavsiya etiladi. Uzun modul ishlatilsa xavfsiz bo‘ladi, lekin uni yaratishda
va ishlatishda ko‘p vaqt ketadi.
4 – qadam. Foydalanuvchining autentifikatsiyasini sozlash
SSH-server foydalanuvchilarni lokal yoki autentifikatsiya serveri yordamida
himoyalashi mumkin. Autentifikatsiyaning lokal usulini ishlatish uchun global
konfiguratsiya rejimida username foydalanuvchi nomi secret password buyrug‘i
beriladi. Foydalanuvchi uchun admin parol uchun ccna olindi.
5 – qadam. VTY kanalini sozlash
Transport input ssh kanal konfiguratsiya rejimida VTY kanalida SSH
protokoli yoqiladi. Kommutatorlarda VTY kanalining diapazoni 0 dan 15 gacha
bo‘ladi. Bunday sozlash SSH protokolidan boshqa barcha ulanishlar (Masalan;
Telnet)ni bekor qiladi va kommutatorga faqat SSH protokoli bo‘yicha ulanishga
ruxsat beradi. Global konfiguratsiya rejimida line vty buyrug‘i beriladi, so‘ng SSH
ulanish
paytida
foydalanuvchilarning
lokal
ma’lumotlar
bazasidan
lokal
autentifikatsiya ishlatilishi uchun kanalning konfiguratsiya rejimida login local
buyrug‘i beriladi.
6 – qadam. SSH versiya 2 ni qo‘llash
Tinch xolatda SSH ikkala versiya (1 va 2)ni qo‘llab quvvatlaydi. Agar ikkala
versiya ishlasa, u holda show ip ssh buyrug‘ining natijasi 1.99 versiya deb xabar
beradi. 1 versiyada ko‘p zaifliklar mavjud. Shu sababli faqat 2 - versiyani ishlatish
tavsiya qilinadi. Uni ishlatish uchun global konfiguratsiya rejimida ip ssh version 2
buyrug‘i beriladi.
Uzoqdagi qurilmaga xavfsiz ulanishni boshqarish uchun Telnet protokolini
o‘rniga SSH protokolini qo‘llash tavsiya etiladi. Telnet da ochiq shifrlanmagan
matnli almashish ishlatiladi. SSH protokoli qurilmalar o‘rtasida uzatilayotgan
barcha ma’lumotlarni ishonchli shifrlash orqali uzoqdagi qurilma bilan xavfsiz
ulanishni ta’minlaydi.
6. PC-A kompyuteri uchun IP manzil qo‘ying.
Manzillash jadvaliga muvofiq kompyuterga IP manzil va tarmoq maskasini
o‘rnating. Ko‘rilayotgan tarmoq uchun asosiy shlyuz kerak emas.
1) ekranning
o‘ng
tomondagi
pastki
burchagidagi
belgiga
sichqonchaning chap tugmasini 2 marta bosing
2) “Подключение по локальной сети” belgisiga 2 marta sichqonchaning
chap tugmasini bosing
3) Chiqqan oynadan “Protokol Interneta TCP/IP” qatori tanlanib, “свойства”
tugmasi bosiladi
4) Chiqqan oynadan IP-manzil va tarmoq maskasi kiritiladi.
7. Tarmoq bog‘lanishni tekshiring
7.1. Kommutatorning konfiguratsiyasini chiqaring.
Console
orqali
ulangan
PC-A
kompyuterda
kommutatorning
konfiguratsiyasini chiqaring. Show run buyrug‘i hozirgi konfiguratsiyani sahifa
ko‘rinishida chiqaradi. Keyingi qatorlarni ko‘rish uchun PROBEL tugmasi bosiladi.
a. Bu erda konfiguratsiyaga misol keltirilgan. Kiritgan sozlanishlar sariq
rangda ajratilgan. Konfiguratsiyaning boshqa ko`rsatkichlari IOS ning o‘zida
o‘rnatilgan sozlanish hisoblanadi.
S1# show run
Building configuration...
Current configuration : 2206 bytes !
version 15.0 no service pad service timestamps debug datetime msec service
hostname S1 !
boot-start-marker
enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2
no aaa new-model system mtu routing 1500 ! !
b. Administrativ VLAN 1 ni ko`rsatkichlarini tekshiring.
7.2. To‘g‘ridan to‘g‘ri bog‘lanishni exo so‘rov jo‘natish orqali tekshiring.
a. PC-A kompyuterdan kommutatorning SVI interfeysining administrativ
manziligi exo so‘rov jo‘nating
C:\Users\User1> ping 192.168.1.100
PC-A kompyuter S1 kommutatorning MAC manzilini ARP protokoli yordamida
olishi kerak. Birinchi paket uzatmada kutish vaqti tugashi mumkin. Lekin exo –
so‘rov amalga oshmasa, qurilmaning bazaviy sozlanishidagi nosozlikni tekshiring
va sozlang.
7.3.
S1 kommutatorni uzoqdan boshqarishni tekshiring.
Qurilmaga uzoqdan kirishni Telnet orqali amalga oshiring. Bizning misolda
kompyuter va kommutator yonma – yon joylashgan. Ishlab chiqarishda esa
kompyuter 1 qavatda, kommutator boshqa qavatda joylashgan bo‘lishi mumkin.
SHu sababli kommutatorni uzoqdan boshqarish uchun Telnet dan foydalaniladi.
a.
PC-A kompyuterning cmd oynasida S1 kommutatorga
administrativ manzil orqali ulanish uchun telnet /SSH
SVI
buyrug‘ini kiriting.
C:\Users\User1> telnet 192.168.1.100
C:\Users\User1> ssh –l admin 192.168.1.100
b.
cisco parolini kiritgandan so‘ng foydalanuvchi rejimiga o‘tgan
hisoblanadi. Imtiyoz rejimiga o‘ting.
c.
7.4.
Telnet yoki SSH seansini tugatish uchun exit ni kiriting.
Kommutatorga kiritilgan o‘zgarishlarni saqlang.
Konfiguratsiyani saqlang.
S1# copy running-config startup-config
Destination filename [startup-config]? [Enter]
Building configuration...
[OK] S1#
Nazorat savollari
1. Console porti qaysi holatda ishlatiladi?
2. Kommutator uchun nima sababdan VTY kanalini sozlash kerak?
3. Parolni shifrlanmagan ko‘rinishda uzatilmasligi uchun nima qilish kerak?
4. Telnet va SSH protokollari nima maqsadda ishlatiladi?
5. Kompyuterlar qurilmalarga kirishi uchun nima sababdan tarmoq manzili bir
xil bo‘lishi kerak?
6. Line vty 0 15 buyrug‘i nimani bildiradi?