Discovery 2 Hoofdstuk 15

Transcriptie

1 Discovery 2 Hoofdstuk 15

2

3 Netwerken voor datacommunicatie, practica, Discovery Inhoud Lab D : Lokale en verzonden data beveiligen Lab D : Access-lists en poortfilters ontwerpen PT D : Plannen van netwerk-firewalls PT D : Configureer WEP op een wireless router Lab D Onderzoeken van een antivirus-softwarepakket Lab D : Een Service Level Agreement interpreteren Lab D : Een netwerk-capture maken met Wireshark Lab D : Beheren van remote netwerkapparaten met Telnet Lab D : Configureer een remote router met SSH Lab D : Een back-up-oplossing ontwerpen Lab D : Beheren van Cisco IOS-images met TFTP Lab D : Cisco IOS-images beheren met ROMmon en TFTP

4

5 Netwerken voor datacommunicatie, practica, Discovery Lab D : Lokale en verzonden data beveiligen Doel Context Deel 1 Deel 2 Gebruik Windows New Technology Files System (NTFS) rechten om de lokale data op een Windows XP Professional computer te beveiligen Gebruik Internet Explorer 7 voor toegang tot secure websites Deze labopdracht bestaat uit twee delen. Ze kunnen samen en onafhankelijk van elkaar uitgevoerd worden. Beveiligen van lokale data In deel 1 ga je data op een computer beveiligen met het NTFS-bestandssysteem. Scenario: Een aantal gebruikers van een klein bedrijf deelt een werkstation. Vertrouwelijke data worden lokaal opgeslagen op de harddisk van de computer. Je bent gevraagd om de data te helpen beschermen en zo te beveiligen dat slechts één lokale gebruiker toegang tot de data heeft. Gebruik de NTFS-rechten om de data lokaal te beveiligen. Er zijn twee lokale gebruikers, Bob en Joe. Bob heeft Modify-rechten nodig voor een directory met de naam Bob s Files die zich in een directory met de naam Lokale Data op de C:-schijf bevindt. Joe heeft geen toegang tot Bob s Files. Identificeer een secure communicatiekanaal bij het verzenden van data via het internet In deel 2 gebruik je Internet Explorer om beveiligde en onbeveiligde websites te identificeren. Scenario: Je moet lesgeven aan eindgebruikers van een klein bedrijf om ze beveiligde toegang tot het internet te leren. Je moet de eindgebruikers leren hoe ze een legitiem beveiligde website van een illegaal beveiligde website kunnen herkennen. Benodigdheden Windows XP Professional computer met administratieve toegang NTFS File System op de computer en Simple File Sharing uitgeschakeld (bij de bestandsopties van Windows Explorer). Gebruikersaccounts geconfigureerd voor de gebruikers Bob en Joe Internetverbinding

6 278 Netwerken voor datacommunicatie, practica, Discovery 2 Deel 1: Beveiligen van lokale data Stap 1: Beveilig de directory Bob s Files a. Log als administrator in op de Windows XP computer. Start vanuit het Bureau-Accessoires-menu Windows Verkenner. Gebruik Windows Verkenner om een directory aan te maken op de Lokale Disk (C:) met de naam Lokale Data. Kies het Bestand-menu, klik op Nieuw en klik dan op Map. Klik op de Lokale Data-directory en rechtsklik dan in de open ruimte aan de rechrezijde van het scherm. Klik op Nieuw en klik dan op Map en maak een directory genaamd Bob s Files. Herhaal het proces om de directories Algemene Files en Joe s Files te maken.

7 Netwerken voor datacommunicatie, practica, Discovery Navigeer naar de Lokale Data-directory, waar je de directory Bob s Files kunt zien.

8 280 Netwerken voor datacommunicatie, practica, Discovery 2 Rechtsklik op de Bob s Files-directory en kies Eigenschappen. Klik vanuit de dialoogbox Bob s Files Eigenschappen op de tab Beveiliging. Opmerking: Je moet werken met een disk waarop het NTFS-filesysteem geïnstalleerd is, anders krijg je geen tab Beveiliging te zien.

9 Netwerken voor datacommunicatie, practica, Discovery Merk op dat de machtigingen gedimd en niet aan te passen zijn. Deze beperking komt door de machtigingen die geërfd zijn van een bovenliggende directory. Om de map te beveiligen, moet je de overerving van de machtigingen uitzetten. Klik vanuit de tab Beveiliging op de knop Geavanceerd. Haal het vinkje uit het vak Overneembare machtigingen van het bovenliggende object opnemen weg.

10 282 Netwerken voor datacommunicatie, practica, Discovery 2 Klik op Kopie om de bestaande machtigingen te behouden. Klik op OK.

11 Netwerken voor datacommunicatie, practica, Discovery Nu de overerving uitgeschakeld is, ben je in staat de machtigingen aan te passen. Selecteer de groep Gebruikers en klik op Verwijderen. Herhaal dit voor overgebleven gebruikers en groepen, behalve voor Administrators en SYSTEEM en klik op Verwijderen. Opmerking: Geef altijd de groepen SYSTEEM en Administrators Volledig beheer tot directories en bestanden om er zeker van te zijn dat bestanden door het computersysteem geback-upt, hersteld en gescand kunnen worden.

12 284 Netwerken voor datacommunicatie, practica, Discovery 2 Voeg nu Bob aan de lijst toe. Klik op Toevoegen. Typ Bob in de tekstbox en klik op de knop Namen controleren om zijn account te verifiëren.

13 Netwerken voor datacommunicatie, practica, Discovery Klik, als Bob geverifieerd is, op OK. Bob is nu aan de lijst toegevoegd. Merk op dat hij momenteel de machtigingen Lezen & uitvoeren, Mapinhoud weergeven, Lezen en Schrijven heeft. Bob moet nieuwe bestanden schrijven en bestaande bestanden moet hij kunnen verwijderen, dus geef Bob de machtiging Wijzigen. Vink de kolom Toestaan direct naast Wijzigen aan.

14 286 Netwerken voor datacommunicatie, practica, Discovery 2 Klik, nu Bob ook de machtiging Wijzigen heeft, op OK om de beveiliging in te stellen.

15 Netwerken voor datacommunicatie, practica, Discovery Stap 2: Test Joe s toegang tot Bob s Files a. Log op de lokale PC als Joe in en probeer of je toegang tot de Bob s Files-directory hebt. Er verschijnt een popup-dialoogbox die aangeeft dat Joe geen machtiging voor toegang tot deze bestanden heeft. Omdat Joe geen Administratieve toegang tot de PC heeft, wordt voorkomen dat hij toegang tot Bob s Files heeft.

16 288 Netwerken voor datacommunicatie, practica, Discovery 2 Deel 2 Stap 1: Identificeren van een beveiligd communicatiekanaal bij het verzenden van data via het internet Identificeer een beveiligde webpagina a. Start Internet Explorer en navigeer naar Deze site is een gewone onbeveiligde pagina. Klik op de link MCP Members Site. Zie dat de URL van HTTP in HTTPS veranderd is. HTTPS is de secure versie van HTTP en gebruikt SSL voor zijn beveiliging. Zie ook dat er een slot-icoon rechts van de URL geplaatst is. De aanwezigheid van het slot-icoon geeft aan dat de site beveiligd is. Klik op het slot om meer informatie over de beveiligde site te krijgen.

17 Netwerken voor datacommunicatie, practica, Discovery Het popup-venster toont informatie over de uitgever van het veiligheidscertificaat voor deze website. Het geeft eveneens aan dat de verbinding met de server beveiligd is. Klik op de link Certifikaat bekijken aan de onderzijde van het popup-venster. Het certificaatvenster opent en toont het certificaat dat op de webserver geïnstalleerd is om het gebruik van SSL mogelijk te maken. Let op de datumrange Geldig vanaf aan de onderzijde. Certificaten zijn slechts gedurende een bepaalde periode geldig en moeten daarna vernieuwd worden. Dit vernieuwingsproces zorgt ervoor dat de webserver-administrators steeds hun servers valideren door de certificaatautoriteit die certificaten uitgeeft. Klik op tab Details voor meer informatie.

18 290 Netwerken voor datacommunicatie, practica, Discovery 2 De tab Details laat de informatie over het certificaat zien. Klik op de tab Certificatie Path. De tab Certificatie Path toont een hiërarchische lijst van certificatie-autoriteiten die in het geval van het webservercertificaat geautoriseerd zijn. Klik op OK om het certificaatvenster te sluiten.

19 Netwerken voor datacommunicatie, practica, Discovery Stap 2: Onderzoek beveiligde toegang tot een onbetrouwbare source a. Als het security-certificaat dat door een website geleverd wordt niet van een betrouwbare autoriteit komt, toont Internet Explorer het onderstaande scherm om je te waarschuwen dat er een probleem is. Het geeft je de opties om de webpagina te sluiten of om met de website door te gaan. b. Tenzij je weet dat de website legitiem is moet je de server of de inhoud die het levert niet vertrouwen. Als je naar het certificatie-path gaat, zoals eerder beschreven is, zal je niet de lijst met de betrouwbare certificeringsautoriteiten te zien krijgen. Je kunt met een beveiligde (HTTPS) website werken, maar wel met één die zichzelf certificeert en niet gecertificeerd is door goedgekeurde autoriteiten.

20

21 Netwerken voor datacommunicatie, practica, Discovery Lab D : Access-lists en poortfilters ontwerpen Doel Context Bepaal op basis van een reeds gedefinieerde netwerktekening waar de access-lists en poortfilters, die het netwerk helpen beschermen, geïmplementeerd moeten worden Je bent de supporttechnicus die naar een locatie gestuurd wordt om het netwerk te onderzoeken voor een zakelijke klant die het risico van een beveiligingslek op het netwerk wil verminderen.

22 294 Netwerken voor datacommunicatie, practica, Discovery 2 Bepaal waar access-lists geplaatst moeten worden Stap 1: Beperk client A tot één subnet Je wordt gevraagd om client A te beperken tot alleen het subnet waarmee hij momenteel verbonden is. Client A moet toegang tot server A hebben, maar moet geen toegang tot het internet of server B hebben. Waar zou je de access-list plaatsen? Router Interface Permit of Deny Input of Output filter Waarom Stap 2: Beperk de toegang van client B naar server A, maar sta toegang tot server B en het internet toe Je wordt gevraagd om voor client B de toegang tot server A te blokkeren, maar client B heeft wel toegang tot het internet en server B. Waar zou je de access-list plaatsen? Router Interface Permit of Deny Input of Output filter Waarom Stap 3: Maak de toegang voor client A tot de routers mogelijk, maar alleen met SSH Je bent gevraagd om beveiligde toegang tot de routers voor alleen client A te maken, wat de management-pc voor deze routers wordt. Je wilt de toegang beperken tot slechts SSH vanaf client A en toegang met Telnet voorkomen. Waar zou je de access-list plaatsen? Hint: Meer dan één interface op meer dan één router is nodig voor het controleren van SSH en Telnettoegang tot de routers. Router Interface Permit of Deny Input of Output filter Waarom

23 Netwerken voor datacommunicatie, practica, Discovery PT D : Plannen van netwerk-firewalls Topologieschema Doel Context Plaats firewalls op de juiste plaats om aan de security-eisen te voldoen Je bent een technicus die netwerkondersteuning geeft aan een middelgroot bedrijf. Het bedrijf is gegroeid en heeft een onderzoek- en ontwikkelingsafdeling die aan een nieuw, erg vertrouwelijk project werkt. Het voortbestaan van het project hangt af van de bescherming van de data die door het onderzoek en ontwikkelingsteam gebruikt worden. Je werk is het installeren van firewalls die het netwerk, op basis van bepaalde eisen, helpen te beschermen. De Packet Tracer-topologie die je gaat gebruiken bevat twee voorgeconfigureerde firewalls. In de twee gegeven scenario s ga je de bestaande routers met de firewalls vervangen. De firewalls moeten geconfigureerd worden met de juiste IP-adresconfiguraties en de firewalls moeten getest worden om er zeker van te zijn dat ze goed geïnstalleerd en geconfigureerd zijn. Scenario 1: Het netwerk tegen hackers beveiligen Omdat het bedrijf bezorgd is over de beveiliging beveel je een firewall aan om het netwerk tegen hackers op het internet te beschermen. Het is bijzonder belangrijk dat de toegang tot het netwerk vanaf het internet aan banden gelegd is. Firewall_1 is met de juiste regels om aan de juiste beveiligingseisen te voldoen voorgeconfigureerd. Je gaat hem op het netwerk installeren en vaststellen dat hij naar verwachting functioneert.

24 296 Netwerken voor datacommunicatie, practica, Discovery 2 Stap 1: Vervang Router_A door Firewall_1 a. Verwijder Router_A en vervang hem door Firewall_1. b. Verbind de FastEthernet 0/0 interface van Firewall_1 met de FastEthernet 0/1 interface op Switch_A. Verbind de FastEthernet 0/1 interface van Firewall_1 met de Ethernet 6 interface van de ISP-wolk. (Gebruik voor beide verbindingen straight-through-kabels.) c. Stel vast dat de host-naam van Firewall_1 Firewall_1 is. d. Configureer op Firewall_1 het WAN IP-adres en subnetmasker voor de FastEthernet 0/1 interface met en e. Configureer het LAN IP-adres en subnetmasker voor de FastEthernet 0/0 interface op Firewall_1 met en Stap 2: Verifieer de Firewall_1-configuratie a. Gebruik het commando show run om je configuratie te verifiëren. Dit is een gedeeltelijk voorbeeld van de uitvoer. Firewall_1#show run Building configuration... hostname Firewall_1! interface FastEthernet0/0 ip address ip nat inside duplex auto speed auto! interface FastEthernet0/1 ip address ip access-group 100 in ip nat outside duplex auto speed auto! interface Vlan1 no ip address shutdown! ip nat inside source list 1 interface FastEthernet0/0 overload ip classless ip route ip route ! access-list 1 permit access-list 100 deny ip any host <output omitted>! end

25 Netwerken voor datacommunicatie, practica, Discovery b. Ping vanaf PC_B, om te verifiëren dat de interne computer toegang tot het internet heeft. PC>ping Pinging with 32 bytes of data: Reply from : bytes=32 time=107ms TTL=120 Reply from : bytes=32 time=98ms TTL=120 Reply from : bytes=32 time=104ms TTL=120 Reply from : bytes=32 time=95ms TTL=120 Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 95ms, Maximum = 107ms, Average = 101ms c. Bewaar, vanuit de privileged EXEC-mode op Firewall_1, de running-configuratie naar de startupconfiguratie met het commando copy run start. Scenario 2: Beveilig het Onderzoek- en Ontwikkelingsnetwerk Nu het gehele netwerk beveiligd is tegen netwerkverkeer vanaf het internet, beveilig je het Onderzoek- en Ontwikkelingsnetwerk, Subnet C, tegen mogelijke inbraak van binnen het netwerk. Het Onderzoek- en Ontwikkelingsteam heeft zowel toegang tot Subnet B als het internet nodig, voor het doen van onderzoek. Van de computers op Subnet B moet de toegang naar het Onderzoek- en Ontwikkelingssubnetwerk geweigerd worden. Firewall_2 is met de juiste regels voor het verzorgen van de vereiste beveiliging voorgeconfigureerd. Je gaat hem op het netwerk installeren en vaststellen dat hij naar verwachting functioneert. Stap 1: Vervang Router_C door Firewall_2 a. Verwijder Router_C en vervang hem door Firewall_2. b. Verbind de FastEthernet 0/1 interface van Firewall_2 met de FastEthernet 0/3 interface van Switch_A. Verbind de FastEthernet 0/0 interface van Firewall_2 met de FastEthernet 0/1 interface van Switch_C. (Gebruik voor beide verbindingen straight-through-kabels.) c. Stel vast dat de host-naam van Firewall_2 Firewall_2 is. d. Configureer op Firewall_2 het WAN IP-adres en subnetmasker voor de FastEthernet 0/1 interface met en e. Configureer het LAN IP-adres en subnetmasker van de FastEthernet 0/0 interface van Firewall_2 met en Stap 2: Verifieer de Firewall_2-configuratie a. Gebruik het commando show run om de configuratie te verifiëren. Dit is een gedeeltelijk voorbeeld van de uitvoer. Firewall_2#show run Building configuration......! interface FastEthernet0/0 ip address ip nat inside duplex auto speed auto!

26 298 Netwerken voor datacommunicatie, practica, Discovery 2 interface FastEthernet0/1 ip address ip access-group 100 in ip nat outside duplex auto speed auto! access-list 1 permit access-list 100 permit ip host any access-list 100 permit ip host any <output omitted>! end b. Gebruik vanaf de command-prompt op PC_B het ping-commando om te verifiëren dat de computers op Subnet B geen toegang tot de computers op Subnet C hebben. PC>ping Pinging with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Ping statistics for : Packets: Sent = 4, Received = 0, Lost = 4 (100% loss). c. Gebruik vanaf de command-prompt op PC_C het ping-commando om te verifiëren dat de computers op Subnet C toegang tot de server op Subnet B hebben. PC>ping Pinging with 32 bytes of data: Request timed out. Reply from : bytes=32 time=164ms TTL=120 Reply from : bytes=32 time=184ms TTL=120 Reply from : bytes=32 time=142ms TTL=120 Ping statistics for : Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), Approximate round trip times in milli-seconds: Minimum = 142ms, Maximum = 184ms, Average = 163ms

27 Netwerken voor datacommunicatie, practica, Discovery d. Gebruik vanaf de command-prompt op PC_C het ping-commando om te verifiëren dat de computers op Subnet C toegang tot het internet hebben. PC>ping Pinging with 32 bytes of data: Reply from : bytes=32 time=97ms TTL=120 Reply from : bytes=32 time=118ms TTL=120 Reply from : bytes=32 time=100ms TTL=120 Reply from : bytes=32 time=110ms TTL=120 Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 97ms, Maximum = 118ms, Average = 106ms e. Bewaar, vanaf de privileged EXEC-mode op Firewall_2, de running-configuratie naar de startupconfiguratie met het commando copy run start. f. Klik op de knop Check Results aan de linkeronderzijde van dit instructievenster om je werk te controleren. Reflectie a. Waarom zou je een firewall installeren op het interne netwerk? b. Hoe helpt een router, die met NAT geconfigureerd is, de computersystemen aan de binnenkant van de NAT-router te beschermen? c. Onderzoek de plaatsing van Firewall_1 en Firewall_2 in de totale netwerktopologie. Welke netwerken worden door Firewall_1 gezien als te vertrouwen en welke als niet te vertrouwen? Welke netwerken worden door Firewall_2 gezien als te vertrouwen en welke als niet te vertrouwen?

28

29 Netwerken voor datacommunicatie, practica, Discovery PT D : Configureer WEP op een wireless router Topologieschema Doel Context Configureer WEP-security tussen een werkstation en een Linksys wireless router Je bent gevraagd om naar een zakelijke klant terug te gaan en een nieuwe Linksys wireless router voor het kantoor van de klant te installeren. De onderneming heeft een paar nieuwe werknemers die draadloze computers gebruiken om geld te besparen op extra netwerkaansluitingen in het gebouw. Het bedrijf is bezorgd over de beveiliging van het netwerk omdat ze financiële en hooggekwalificeerde data via het netwerk versturen. Je werk is het configureren van de beveiliging op de router om de data te beschermen. In deze opdracht ga je WEP-security op zowel een Linksys wireless router als een werkstation configureren. Stap 1: Configureer de Linksys wireless router voor WEP a. Klik op het icoon Customer Wireless Router. Klik daarna op de tab GUI voor toegang tot de routerweb-management-interface. b. Klik op de menu-optie Wireless en verander de Network Name (SSID) van Default naar CustomerWireless. Laat de andere instellingen op de default-opties staan. c. Klik op de knop Save Settings aan de onderzijde van het venster Basic Wireless Settings. d. Klik op het submenu Wireless Security onder het menu Wireless om de huidige wireless securityparameters weer te geven. e. Selecteer vanuit het Security Mode drop-down-menu WEP. f. Typ in de Key1 tekstbox 1a2b3c4d5e. Dit wordt de nieuwe WEP pre-shared sleutel voor toegang tot het wireless netwerk. g. Klik op de knop Save Settings aan de onderzijde van het venster Wireless Security. Stap 2: Configureer WEP op het draadloze werkstation van de klant a. Klik op Customer Wireless Workstation. b. Klik op de tab Config.

30 302 Netwerken voor datacommunicatie, practica, Discovery 2 Stap 3: c. Klik op de knop Wireless om de huidige wireless configuratie-instellingen van het werkstation te zien. d. Verander de SSID in CustomerWireless. e. Verander de Security Mode in WEP. Voer 1a2b3c4d5e in de tekstbox Key in en sluit het venster. Verifieer de configuratie Let op of, nadat je de juiste WEP-key en SSID op het draadloze werkstation van de klant hebt geconfigureerd, er een draadloze verbinding tussen het werkstation en de wireless router is. a. Klik op Customer Wireless Workstation. b. Klik op de tab Desktop om de beschikbare applicaties te bekijken. c. Klik op de Command Prompt-applicatie voor de command-prompt. d. Typ ipconfig /all en druk op Enter om de huidige netwerkconfiguratie-instellingen te kunnen zien. e. Typ ping om de verbinding met de LAN-interface van de customer wireless router te verifiëren. f. Sluit het venster Command Prompt. g. Open een webbrowser. h. Typ in de adresbalk van het webbrowser-venster Druk op Enter. De intranetwebpagina die op de customer-server draait, verschijnt. Je hebt zojuist geverifieerd dat het customer wireless werkstation verbinding heeft met de rest van het netwerk van de klant. i. Klik op de knop Check Results aan de onderzijde van dit instructievenster om je werk te controleren. Reflectie a. Wat is het doel van het gebruik van WEP op een wireless netwerk? b. Wat is de betekenis van de sleutel die je gebruikt om WEP te beveiligen? c. Is WEP de beste keuze voor wireless security?

31 Netwerken voor datacommunicatie, practica, Discovery Lab D Onderzoeken van een antivirus-softwarepakket Doel Context Stap 1: Onderzoek een antivirus-softwarepakket dat aan de eisen van een klein bedrijf voldoet Je bent gevraagd om een antivirus-softwarepakket voor een klein bedrijf aan te bevelen. Het bedrijf is bezorgd over virussen en malware, omdat het in het verleden er een probleem mee heeft gehad. De klant wil eveneens de mogelijkheid van centraal beheer van de antivirusoplossing. De klant wil alle antivirusalarmen op één locatie zichtbaar hebben en wil graag mail-alarmen ontvangen wanneer zich een infectie heeft voorgedaan. Identificeer drie producten Gebruik het internet, zoek producten van drie verschillende ondernemingen die voldoen aan de eisen van het kleine bedrijf. Het antivirusproduct moet de volgende kenmerken hebben: Antivirus Antispyware Antimalware Centraal beheer Mail-alarm Bedrijf Product Stap 2: Prijsvergelijking Nu je de drie verschillende producten die aan de eisen van de klant voldoen geïdentificeerd hebt, vergelijk je de prijzen. Het bedrijf heeft 27 werkstations en 3 servers. Zorg voor een licentie voor alle computersystemen om een totaalprijs te maken. Onderzoek de kosten en laat alle items zien die de totaalprijs bepalen. Bedrijf Product Prijs

32

33 Netwerken voor datacommunicatie, practica, Discovery Lab D : Een Service Level Agreement interpreteren Doel Context Beschrijf het doel van een Service Level Agreement (SLA) Bekijk de algemene klanteisen voor het SLA Analyseer een voorbeeld-sla en beantwoord de vragen met betrekking tot de inhoud en geschiktheid op basis van de behoeften van de klant Een SLA is een formele overeenkomst tussen een klant en een service-provider. Het SLA definieert de soorten en niveaus van de service die een klant mag verwachten, maar ook alle boeteclausules die er zijn voor overtredingen. In deze labopdracht ga je het doel van een SLA en de soorten klanteneisen die het kan afdekken onderzoeken. Je analyseert een voorbeeld-sla tussen een ISP en een klant van een middelgroot bedrijf en vragen met betrekking tot de voorwaarden van het SLA beantwoorden. Je kunt alleen of in groepjes werken. Benodigdheden Voorbeeld-SLA (bijlage van deze labopdracht) Stap 1: Bekijk de typische behoeften van de klant Een typische klant heeft de onderstaande eisen aangaande een SLA. Deze eisen moeten opgenomen worden in het SLA met de service-provider: Service-beschrijving Beschrijft de omvang van de service en de tijden dat de service nodig is. Het beschrijft eveneens de keren dat de service niet door het SLA afgedekt worden. De beschreven services zullen meestal bij een kleine tot middelgrote productieonderneming voorkomen, zoals: mailservice, elektronische data-uitwisseling, online boekhouding, beveiligde thuiswerkersondersteuning, remote instrumentatie en controlesystemen en back-up- en herstelservices. Beschikbaarheid Beschrijft de beschikbaarheid van elke service in uren per dag en dagen per maand dat de service beschikbaar zal zijn. Prestaties Beschrijft de piek en gewone distributie van het datavolume dat de klant voor elke service verwacht te genereren. Betrouwbaarheid Beschrijft het betrouwbaarheidspercentage dat voor elke service gewenst is. Response-tijd, opvolging en rapportage Beschrijft de prestaties die de gebruikers nodig hebben voor elke service. Beveiliging - Beschrijft het beveiligingsbeleid van de klant dat betrekking heeft op de services die door het SLA afgedekt worden. Budgetcyclus Identificeert de budgetcyclus van de klant. Boeteclausule bij uitvallen van de service Voorziening voor de kostenschatting van de klant bij het uitvallen van de services van elke service die de klant wil hebben afgedekt door een SLA. Kosten Voorziet in een tabel van de kosten die de klant in het verleden moest betalen voor de services die onder andere SLA s betaald werden.

34 306 Netwerken voor datacommunicatie, practica, Discovery 2 Stap 2: Analyseer voorbeeld-sla en herken de belangrijkste onderdelen a. Bestudeer het onderstaande voorbeeld-sla en beantwoord de vragen betreffende de inhoud, ISPverantwoordelijkheden en de eisen van de klant. Kan de ISP, volgens deze overeenkomst, aansprakelijk worden gehouden voor schade aan de apparatuur die eigendom is van de klant [Client] of voor dataverlies dat optreedt als gevolg van onvoorziene acties door het verkooppersoneel of andere personen van de ISP? Wat zijn enkele voorbeelden van eenmalige services die in het SLA opgenomen zijn? Wat zijn enkele voorbeelden van aanhoudende services die in het SLA opgenomen zijn? Wanneer zal regelmatige onderhouds-downtime gepland worden en hoeveel werkdagen van tevoren moet de ISP een geplande downtime aangeven? Wat moet het netwerk-monitoringssysteem van de ISP doen, wanneer er een error-conditie gedetecteerd is? Wat is de aangegeven beschikbaarheid van de systeem-administrators in het geval van een systeemstoring? Wat is gebruik monitoring en hoe verzorgt de ISP deze service? Wat is, met betrekking tot de ernst van een probleem en reactietijd van de ISP, het verschil tussen Niveau 1 normale werktijd en Niveau 3 normale werktijd? Op welke factoren zijn de boetebepalingen voor service-uitval gebaseerd?

35 Netwerken voor datacommunicatie, practica, Discovery Lab D : Een netwerk-capture maken met Wireshark Doel Context Een netwerk-capture maken met Wireshark om bekend te raken met de Wireshark-interface en omgeving Dataverkeer naar een webserver analyseren Creëer een filter om de netwerk-capture te beperken tot ICMP-packets Ping een remote host om de werking van het ICMP-packet-filter tijdens een netwerk-capture te bekijken In deze labopdracht ga je Wireshark, een bekende netwerkprotocolanalyzer en monitoring-tool, installeren. Wireshark vangt alle packets op die door de NIC van de computer verzonden of ontvangen worden. Het kan zowel in het lab als op een PC thuis geïnstalleerd worden. Je zult het gebruiken om de verschillende soorten netwerkprotocollen en dataverkeer te volgen en te bekijken. Wireshark stond vroeger bekend als Ethereal. Wireshark-software is freeware en beschikbaar op De software-installatie, wiresharksetup exe, zou beschikbaar moeten zijn op de lokale Networking Academy-server. Je kunt deze labopdracht alleen, met zijn tweeën of in een team uitvoeren. Benodigdheden Een Windows XP PC met een Ethernet-netwerk en tenminste twee hosts Wireshark Versie software (of de meest recente versie) Internetaansluiting Toegang tot de PC command-prompt Toegang tot de PC netwerk TCP/IP-configuratie

36 308 Netwerken voor datacommunicatie, practica, Discovery 2 Stap 1: Installeer en start Wireshark Ga, als Wireshark al eerder op de PC geïnstalleerd is, naar de Wireshark-programmamap Start > Alle Programma s > Wireshark > Wireshark en klik op het applicatie-icoon. Als Wireshark niet geïnstalleerd is, voer dan de volgende stappen uit: a. Gegeven het lokale netwerk-path naar de Wireshark-software-installer, wireshark-win exe, download de installer naar het bureaublad van de PC. Dubbelklik op de installer en volg de installatieprompts op en accepteer de defaults.

37 Netwerken voor datacommunicatie, practica, Discovery Klik op I Agree. Zorg ervoor dat WinPcap op de PC geïnstalleerd wordt. WinPcap bevat een driver die packet- capture ondersteunt. Wireshark gebruikt deze bibliotheek voor het opvangen van netwerkdata bij Windows.

38 310 Netwerken voor datacommunicatie, practica, Discovery 2 Klik op Install en volg de overblijvende prompts tot het einde van het installatieproces op. Vink, nadat de software geïnstalleerd is, het vakje launch Wireshark af. Stap 2: Selecteer een interface voor capturing van packets a. Start de Wireshark-applicatie. b. Kies het Capture-menu en klik op Interfaces. c. Klik op de knop Start van de Ethernet-interface (NIC) die je wilt gebruiken om netwerkverkeer op te vangen. Stap 3: Start een netwerk-capture a. Scroll door de menu s en bekijk de toolbar op de Wireshark-startup-Interface. Klik op de knop New Live Capture en observeer de informatie die door Wireshark verzameld wordt. Sta de capture toe om voor een paar minuten door te gaan, zodat je de verschillende soorten dataverkeer op het netwerk kunt bekijken.

39 Netwerken voor datacommunicatie, practica, Discovery Stap 4: Analyseer webverkeerinformatie a. Open, als de internetverbinding beschikbaar is, een browser en ga naar Minimaliseer het Google-window en ga naar Wireshark terug. Je moet nu opgevangen dataverkeer zien dat vergelijkbaar is met wat hieronder te zien is. Zoek de kolommen Source, Destination en Protocol in het Wireshark-venster op. b. De verbinding naar de Google-server begint met een query naar de DNS-server om het IP-adres van de server op te vragen. Het destination-server IP-adres zal waarschijnlijk beginnen met 64.x.x.x. Wat is de source en destination van het eerste packet dat naar de Google-server gestuurd wordt? Open een ander browser-venster en ga naar de ARIN Whois-database of gebruik een andere whois lookup-tool en voer het IP-adres van de destination-server in. Aan welke organisatie is het IP-adres toegekend? Wat zijn de gebruikte protocollen voor het opbouwen van de verbinding naar de webserver en voor het afleveren van de webpagina aan je lokale host? Welke kleur is er gebruikt om het dataverkeer tussen jouw host en de Google-webserver uit te lichten?

40 312 Netwerken voor datacommunicatie, practica, Discovery 2 Stap 5: Filter een netwerk capture a. Open een Command Prompt-venster door op Start > Alle Programma s > Run te klikken en cmd te typen. Alternatief: klik op Start > Alle Programma s > Bureau-Accessoires en selecteer Opdracht Prompt. Ping een host IP-adres op je lokale netwerk en bekijk het Wireshark-capture-venster. Scroll omhoog en omlaag door het venster waarin het dataverkeer te zien is. Welke soorten protocollen zijn er in gebruik? Typ, in de Filter-tekstbox, icmp en klik op Apply. Internet Control Message Protocol (ICMP) is het protocol dat ping gebruikt om de netwerkverbinding naar een andere host te testen. Welke soort dataverkeer is er te zien, als icmp in de Filter-tekstbox getypt is? Klik op de knop Filter: Expression in het Wireshark-venster. Scroll door de lijst omlaag en bekijk de filtermogelijkheden. Zijn TCP, HTTP, ARP en ander protocollen opgesomd? Stap 6: Reflectie a. Er bestaan honderden filters in de optie Filter: Expression. Het is mogelijk dat er in een groot netwerk een enorme hoeveelheid en veel verschillende soorten dataverkeer is. Welke drie filters uit het overzicht denk je dat het meest bruikbaar zijn voor een netwerkadministrator? Is Wireshark een tool voor out-of-band of voor in-band netwerk-monitoring? Verklaar je antwoord.

41 Netwerken voor datacommunicatie, practica, Discovery Lab D : Beheren van remote netwerkapparaten met Telnet Apparaat Hostnaam Interface IP-adres Subnetmasker R1 R1 Serial 0/0/0 (DTE) RIP v2 netwerk-statements FastEthernet 0/ R2 R2 Serial 0/0/0 (DCE) Serial 0/0/1 (DCE) FastEthernet 0/ R3 R3 Serial 0/0/1 (DTE) FastEthernet 0/ S1 S1 VLAN 1 (beheer) N/A

42 314 Netwerken voor datacommunicatie, practica, Discovery 2 Doel Context Bouw een Telnet-verbinding met een remote router op Verifieer dat de applicatielaag tussen de source en destination correct werkt Haal informatie over de remote routers op met show-commando s Haal CDP-informatie van de niet direct aangesloten routers op Verbreek en herstel een Telnet-sessie Beëindig een Telnet-sessie Werk met meerdere Telnet-sessies Toon de actieve Telnet-sessies Deze labopdracht concentreert zich op de Telnet (remote terminal) utility voor remote toegang tot de routers. Telnet wordt gebruikt voor de verbinding met een lokale router en een andere remote router om te simuleren dat je op de console van de remote router bent. De lokale router werkt als een Telnet-client en de remote router werkt als een Telnet-server. Je kunt ook Telnetten vanaf een werkstation als een client naar elke router met een IP-verbinding met het netwerk. Als een Ethernet-switch een IP-adres toegewezen heeft gekregen, kun je ernaar Telnetten vanaf een werkstation of elk ander netwerkapparaat dat een IP-verbinding heeft. Telnet is een goede test- en troubleshooting-tool, omdat het een applicatielaag-utility is. Een geslaagde Telnet-sessie toont aan dat de gehele TCP/IP protocol-stack op zowel de client als de server correct werkt. Bouw een netwerk, zoals in bovenstaande tekening, op. Je kunt elke router of combinatie van routers gebruiken, waarvan de interface-vereisten overeenkomen met de tekening, zoals een 800, 1600,1700, 1800, 2500, 2600 of 2800 router. Bekijk de tabel aan het einde van de labopdracht om vast te stellen welke interfaces er gebruikt kunnen worden voor de apparatuur van deze labopdracht. Afhankelijk van het model van de router kan de uitvoer van de router afwijken van de uitvoer in de labopdracht. Benodigdheden Eén router met twee seriële interfaces en een FastEthernet (1841 of anders) Twee routers met een seriële interface en een FastEthernet (1841 of anders) Een 2960-switch (of vergelijkbaar) voor het R2 LAN Drie Windows XP computers (hosts H2 en H3 zijn voornamelijk voor het configureren van de routers R2 en R3) Straight-through- en cross-over Categorie 5 Ethernet-kabels als benodigd Twee null seriële kabels Console-kabels voor het configureren van de routers Toegang tot de command-prompt van H1 Toegang tot de netwerk TCP/IP-configuratie van H1 Start op de hosts H1, H2 en H3 een HyperTerminal-sessie naar elke router. Opmerking: Zorg ervoor dat de routers en switch gewist zijn en geen startup-configuratie hebben. Instructies voor het wissen zijn te vinden in het Lab Manual, van de Academy Connection in de sectie Tools. Overleg met de instructeur als je niet zeker bent hoe je dit moet doen.

43 Netwerken voor datacommunicatie, practica, Discovery Taak 1: Stap 1: Bouw het netwerk en verifieer de verbindingen Configureer de basisconfiguratie op elke router en de switch a. Bouw en configureer het netwerk volgens het topologieschema en de apparaatconfiguratietabel. Zie, indien nodig, labopdracht Configureer basis-router-instellingen met de Cisco IOS CLI voor instructies. b. Configureer RIPv2 op elke router en maak de netwerken bekend zoals in de apparaatconfiguratietabel te zien is. Bekijk, indien nodig, labopdracht RIP configureren en controleren voor instructies. c. Configureer de basisinstellingen op switch S1, zoals host-naam, wachtwoord en VLAN 1 IP-adres. Bekijk, indien nodig, labopdracht Configureren van de Cisco 2960-switch voor instructies. Stap 2: Configureer elke host Configureer H1, H2 en H3 met een IP-adres, subnetmasker en default gateway die compatibel zijn met het IP-adres van de router default gateway-adres voor het LAN waarop ze aangesloten worden. Stap 3: Verifieer de end-to-end-verbinding a. Open een command-prompt op host H1 en ping vanaf het R1-LAN naar host H3 op het R3-LAN. C:\>ping Ping, als host H3 niet met de router verbonden is, het IP-adres van de seriële interface 0/0/0 van R3. C:\>ping Opmerking: Troubleshoot, als de pings niet succesvol zijn, de router- en host-configuraties en de aansluitingen. Taak 2: Bouw een Telnet-sessie vanaf een host-computer op Stap 1: Telnet vanaf host H1 naar de remote router R2 De Cisco IOS-software heeft ingebouwde Telnet-client- en server-software. Bijna alle computeroperating-systemen hebben een Telnet-client. Veel server-operatingsystemen hebben eveneens een Telnet-server, maar Microsoft Windows Desktop operating-systeem heeft er geen. In veel gevallen heb je geen directe toegang tot een router via de console, zodat je ook geen toegang tot andere netwerkapparaten hebt. Meestal Telnet je naar een router of switch vanaf een host-computer. Als je eenmaal toegang tot de command-prompt van de router of switch gekregen hebt, kun je naar andere netwerkapparaten Telnetten die via het netwerk toegankelijk zijn. a. Telnet, vanaf de command-prompt van H1, naar de FastEthernet 0/0 interface van router R2 C:\>telnet b. Voer het wachtwoord cisco in voor toegang tot de router. c. Welke prompt toont de router? Stap 2: Beëindig de Telnet-sessie vanaf host H1 naar de remote router R2 a. Verlaat de Telnet-sessie vanaf host H1 naar R2 door het typen van exit.

44 316 Netwerken voor datacommunicatie, practica, Discovery 2 Taak 3: Voer basis-telnet-operaties tussen de routers uit Stap 1: Gebruik de helpfunctie om Telnet-informatie te verkrijgen a. Voer, vanaf de router R1 HyperTerminal-sessie, telnet? in, vanaf zowel de user EXEC-mode als de privileged EXEC-router-prompt. Wat wordt er getoond? b. Wat gebeurt er als je alleen telnet typt en op Enter drukt? Stap 2: Stap 3: Telnet vanaf R1 naar remote router R2 Opmerking: Telnet gebruikt de vty-lines op de remote router om verbinding te maken. Als de vty-lines niet voor login geconfigureerd zijn of als er geen wachtwoord ingesteld is, kun je geen verbinding met Telnet naar de remote router maken. a. Telnet naar het IP-adres van de R2 seriële 0/0/0 interface R1>telnet Trying Open User Access Verification Password: b. Gebruik het wachtwoord cisco om de router binnen te gaan. c. Welke prompt toont de router? Kijk naar de interfaces op de remote router R2 a. Voer het commando show ip interface brief vanaf de remote router-prompt in. R2>show ip interface brief b. Noteer de interfaces die up zijn op remote router R2. Een ander commando dat statusinformatie van de interfaces geeft is show protocols. Dit commando geeft alle interfaces met het internetprotocol. Welke informatie geeft dit commando dat het commando show ip interface brief niet geeft? R2>show protocols Stap 4: Toon de routing-tabel op de remote router a. Voer vanaf de router-prompt het commando show ip route in. Welke routes heeft router R2 van RIP geleerd? R2>show ip route

45 Netwerken voor datacommunicatie, practica, Discovery Stap 5: Stap 6: Toon de CDP-neighbors van R2 a. Gebruik het Cisco Discovery Protocol (CDP) om de informatie over direct op R2 aangesloten Ciscoapparaten zichtbaar te maken. Voer vanaf de router-prompt het commando cdp neighbors in. b. Noteer alle apparaat-id s die op de remote router aangesloten zijn. Wat is het platform van elk apparaat? R2>show cdp neighbors Ga naar de privileged EXEC-mode Opmerking: De voorgaande commando s konden vanaf de user EXEC-mode-prompt R2> ingevoerd worden. Om de running-configuration van een router zichtbaar te maken, moet je in de privileged EXECmode zijn. a. Voer enable vanaf de R2> command-prompt in en gebruik het wachtwoord class. b. Welke prompt toont de router nu? c. Welke mode is dit? Stap 7: Bekijk de running-comfiguration op remote router R2 a. Voer vanaf de remote router-prompt show running-config in. R2>show running-config b. Waar bevindt dit bestand zich? Stap 8: Activeer de console-monitoring-berichten op remote router R2 a. Schakel, tijdens de Telnet-sessie met R2, RIP-debugging in met het commando debug rip in de privileged EXEC-mode. Dit stelt je in staat de periodieke routing-updates, die tussen de routers verzonden worden, te zien. Zie je enkele RIP-berichten? R2#debug ip rip RIP protocol debugging is on b. Om de console-berichten van R2 te kunnen zien terwijl je via Telnet vanaf R1 verbonden bent, voer je het commando terminal monitor in vanaf de R2 privileged-prompt. Zonder dit commando kun je de R2 console-berichten en debug-uitvoer niet op R1 zien. Zie je nu RIP-berichten? R2#terminal monitor c. Schakel de RIP-debugging op R2 uit door het commando no debug ip rip of undebug all te gebruiken en deactiveer de terminal-monitoring van R2 met het commando terminal no monitor. R2#no debug ip rip RIP protocol debugging is off R2#terminal no monitor Stap 9: Onderbreek de huidige Telnet-sessie op R2 a. Druk op Ctrl-Shift-6 en druk dan op de x-toets. Deze actie onderbreekt de sessie alleen maar en je gaat naar de eerdere router terug. Het verbreekt de verbinding met deze router niet. b. Welke prompt toont de router? Stap 10: Hervat de Telnet-sessie met R2 a. Druk op de Enter-toets vanaf de router-prompt. Waarmee reageert de router?

46 318 Netwerken voor datacommunicatie, practica, Discovery 2 b. Met het indrukken van Enter hervat de Telnet-sessie die in stap 9 afgebroken was. Welke prompt toont de router? Stap 11: Beëindig de Telnet-sessie met R2 a. Beëindig de Telnet-sessie door het typen van exit. b. Waarmee reageert de router? c. Welke prompt toont de router? Opmerking: Wanneer de Telnet-sessie afgebroken wordt, kun je de sessie beëindigen met het commando disconnect en het sessienummer. Taak 4: Het uitvoeren van Telnet-operaties tussen meerdere routers Stap 1: Telnet vanaf R1 naar remote router R2 a. Telnet vanaf R1 naar het IP-adres van de seriële 0/0/0 interface van R2. b. Gebruik het wachtwoord cisco om de router binnen te gaan. Stap 2: Onderbreek de huidige Telnet-sessie met R2 a. Druk op Ctrl-Shift-6 en druk dan op de x-toets. b. Welke prompt toont de router? Stap 3: Bouw een extra Telnet-sessie vanaf R1 met R3 op a. Telnet vanaf R1 naar het IP-adres van de seriële 0/0/1 interface van R3 b. Gebruik het wachtwoord cisco om de router binnen te gaan. c. Welke prompt toont de router? Stap 4: Onderbreek de Telnet-sessie met R3 a. Druk op Ctrl-Shift-6 en druk dan op de x-toets. b. Welke prompt toont de router? Stap 5: Bekijk de actieve Telnet-sessies a. Voer het commando show sessions vanaf de R1 command-prompt in. Hoeveel sessies zijn er in gebruik? b. Opmerking: De default-sessie wordt met een asterisk (*) aangegeven. Dit is de sessie waarmee verder wordt gegaan na het drukken op Enter. R1>show sessions Stap 6: Hervat de eerder afgebroken Telnet-sessie a. Typ resume en het nummer van de sessie die hervat wordt (1) en druk op ENTER vanaf de routerprompt. Waarmee reageert de router? Stap 7: Bekijk de actieve Telnet-sessies a. Voer het commando show sessions vanaf de command-prompt in. b. Hoeveel sessies zijn er te zien? c. De vorige keer waren er twee sessies. Wat is er gebeurd?

47 Netwerken voor datacommunicatie, practica, Discovery Stap 8: Stap 9: Taak 5: Stap 1: Onderbreek de Telnet-sessie naar R3 a. Druk op Ctrl-Shift-6 en druk dan op de x-toets. b. Welke prompt toont de router? Beëindig de sessies van R1 naar R2 en R3 a. Voer het commando disconnect 1 vanaf de R1-prompt in en druk op Enter. Dit beëindigt de sessie 1 naar R2 en laat de sessie naar R3 nog open. Typ het commando nog eens om de Telnet-sessie naar R3 te beëindigen. R1>disconnect 1 Closing connection to [confirm] R1>disconnect 1 Closing connection to [confirm] Experiment met meerdere, gekoppelde sessies Bij het werken met Telnet is één van de meest algemene problemen het onthouden van welk apparaat je tijdens de sessie aan het werk bent. Vaak Telnetten mensen via een router en Telnetten dan via die router naar een andere, enzovoort. Zonder host-namen, of als de routers min of meer dezelfde namen hebben, kan er verwarring optreden. Telnet naar router R3 a. Telnet vanaf R1 naar router R3. b. Typ op de configuratie-prompt no hostname. Stap 2: Telnet naar router R2 a. Telnet vanaf R3 naar router R2. b. Typ op de configuratie-prompt no hostname. Stap 3: Telnet terug naar router R3 a. Telnet vanaf R2 terug naar router R3. b. Is het duidelijk, als je naar de prompt kijkt, waar je met Telnet vandaan werkt? Stap 4: Telnet naar de router R1 a. Telnet vanaf R3 naar de router R1. b. Typ op de configuratie-prompt no hostname.

48 320 Netwerken voor datacommunicatie, practica, Discovery 2 Stap 5: Beëindig alle sessies a. Blijf exit typen totdat de volgende prompt verschijnt. Router con0 is now available Press RETURN to get started. b. Scroll omhoog door de HyperTerminal-uitvoer. c. Hoeveel session-closed berichten zijn er te zien? Taak 6: Reflectie Wat zijn enkele voor- en nadelen van het gebruik van Telnet? Router-interface-overzichtstabel Routermodel Ethernet-interface #1 Ethernet-interface #2 Seriële interface #1 Seriële interface #2 800 (806) Ethernet 0 (E0) Ethernet 1 (E1) 1600 Ethernet 0 (E0) Ethernet 1 (E1) Serial 0 (S0) Serial 1 (S1) 1700 FastEthernet 0 (FA0) FastEthernet 1 (FA1) Serial 0 (S0) Serial 1 (S1) 1800 FastEthernet 0/0 (FA0/0) FastEthernet 0/1 (FA0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 2500 Ethernet 0 (E0) Ethernet 1 (E1) Serial 0 (S0) Serial 1 (S1) 2600 FastEthernet 0/0 FastEthernet 0/1 Serial 0/0 (S0/0) Serial 0/1 (S0/1) (FA0/0) (FA0/1) 2800 FastEthernet 0/0 (FA0/0) FastEthernet 0/1 (FA0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) Opmerking: Om uit te vinden hoe de router geconfigureerd is, moet je naar de interfaces kijken. De interface identificeert het type router en hoeveel interfaces de router heeft. Er bestaat geen manier om alle combinaties van configuraties voor elke routerklasse efficiënt weer te geven. Wat te zien is, is de indicatie van de mogelijke combinaties van interfaces in het apparaat. Deze interfacekaart bevat niet elk mogelijk interface-type, zelfs als een bepaalde router deze kan bevatten. Een voorbeeld hiervan kan een ISDN BRI-interface zijn. De informatie tussen haakjes is de legale afkorting die met de Cisco IOS-commando s gebruikt kan worden om de interface weer te geven.

49 Netwerken voor datacommunicatie, practica, Discovery Lab D : Configureer een remote router met SSH Doel Context Gebruik SDM om een router zo te configureren dat het SSH-verbindingen accepteert Configureer SSH-client-software op een PC Bouw een verbinding met een Cisco ISR op met SSH versie 2 Controleer de bestaande running-configuratie Configureer een niet-sdm-router voor SSH met de Cisco IOS CLI In het verleden was Telnet het meest algemeen gebruikte netwerkprotocol voor het op afstand configureren van netwerkapparaten. Protocollen als Telnet hebben evenwel geen authenticatie of encryptie voor de informatie tussen de client en server. Dit maakt het een netwerk-sniffer mogelijk om wachtwoorden en configuratie-informatie te onderscheppen. Secure Shell (SSH) is een netwerkprotocol dat een beveiligde terminal-emulatieverbinding naar een router of een ander netwerkapparaat opbouwt. SSH encrypt alle informatie die de netwerkverbinding passeert en voorziet in authenticatie van de remote computer. SSH vervangt Telnet als de remote logintool als keuze van de netwerkprofessionals. SSH wordt vaak gebruikt voor het inloggen op een remote machine en het uitvoeren van commando s; het kan echter ook bestanden overbrengen met behulp van SFTP- of SCP-protocollen. Om met SSH te kunnen werken moeten de netwerkapparaten het ondersteunen. In deze labopdracht schakel je de SSH-server op een router in en maak je verbinding met de router via een PC waarop een SSH-client geïnstalleerd is. Op een lokaal netwerk wordt de verbinding meestal met behulp van Ethernet en IP gemaakt. Netwerkapparaten die via andere soorten links aangesloten zijn, zoals serieel, kunnen ook met SSH beheerd worden, zolang ze IP ondersteunen. Net als Telnet is SSH een in-band, TCP/IP gebaseerd internetprotocol. Je kunt zowel Cisco SDM- of Cisco IOS CLI-commando s voor het configureren van de router gebruiken. De Cisco 1841 ISR ondersteunt SSH-versies 1 en 2, waarbij versie 2 de voorkeur heeft. De SSH-client die in deze labopdracht gebruikt wordt is PuTTY, die gratis gedownload kan worden. Als je met een router werkt waarop geen SDM geïnstalleerd is, moet je Cisco IOS CLI-commando s voor het configureren van SSH gebruiken.

50 322 Netwerken voor datacommunicatie, practica, Discovery 2 Instructies hiervoor staan in stap 2 van deze labopdracht. Voor het uitvoeren van de basis-routerconfiguratie zie labopdracht , Configureren van basis-router-instellingen met de Cisco IOS CLI. Cisco SDM ondersteunt een brede range van Cisco-routers en Cisco IOS-software-releases. Op veel van de nieuwste Cisco-routers is SDM vooraf geïnstalleerd. Deze labopdracht gebruikt een Cisco 1841-router, waarop SDM (en SDM Express) geïnstalleerd is. Je kunt een ander router model dat SDM ondersteunt gebruiken. Als op de router SDM niet geïnstalleerd is, kun je de nieuwste versie gratis downloaden van Vanaf deze webpagina kun je ook Downloading and Installing Cisco Router and Security Device Manager bekijken en downloaden. In dit document staan de instructies en systeemvereisten voor het installeren van SDM. Opmerking: Als je SDM voor het configureren van SSH gebruikt, moet je de labopdracht Configureren van een ISR met SDM Express op de router die voor deze labopdracht gebruikt, gedaan hebben. Deze labopdracht gaat ervan uit dat de router in een eerder stadium met de basisinstellingen geconfigureerd is. Opmerking: Als de startup-config van een SDM-router gewist is, komt SDM niet langer standaard op als de router opnieuw gestart wordt. In dat geval is het nodig de basis-router-configuratie met Cisco IOScommando s op te bouwen. Zie de procedure hiervoor aan het einde van deze labopdracht of neem contact met de instructeur op. Benodigdheden Cisco 1841 ISR-router met SDM versie 2.4 geïnstalleerd en met basisconfiguratie (Optioneel) Ander Cisco-router-model met SDM geïnstalleerd (Optioneel) Ander Cisco-router-model zonder SDM geïnstalleerd (Cisco IOS-software-versie 12.2 of later; moet SSH ondersteunen) Windows XP computer met Internet Explorer 5.5 of later en Sun Java Runtime Environment (JRE) versie 1.4.2_05 of later (of Java Virtual Machine (JVM) ) Nieuwste release van putty.exe-client geïnstalleerd op de PC en toegankelijk vanaf de desktop Straight-through of cross-over Categorie 5 Ethernet-kabel (voor SDM en SSH) (Optioneel) Console-kabel, als de router met de CLI geconfigureerd moet worden Toegang tot de PC command-prompt Toegang tot de PC netwerk TCP/IP-configuratie

51 Netwerken voor datacommunicatie, practica, Discovery Stap 1: Gebruik SDM om de router voor SSH-verbindingen te configureren Opmerking: Lees, als je een router moet configureren waarop SDM niet geïnstalleerd is, alleen stap 1 om te zien hoe SSH als een aparte taak ingesteld wordt met SDM en ga dan naar stap 2. a. Maak verbinding met de router Fa0/0 interface. Open de webbrowser en maak verbinding met Voer, wanneer erom gevraagd wordt, admin als gebruikersnaam in en cisco123 voor het wachtwoord. Klik op OK. Cisco SDM wordt geladen.

52 324 Netwerken voor datacommunicatie, practica, Discovery 2 Klik op de knop Configure op de toolbar. Klik in het Tasks-venster op Additional Tasks. Klap Router Access uit in het venster Additional Tasks en klik dan op de taak SSH. Klik daarna op de knop Generate RSA Key. Opmerking: Als het bericht SSH Key Setup aangeeft: RSA key exists and SSH is enabled in your router en de Status is RSA key is set on this router, is waarschijnlijk labopdracht , Configureer een ISR met SDM Express op de router uitgevoerd. In die labopdracht is, bij het configureren van security, een van de aanbevolen security-instellingen standaard op Enhance security on this router gezet. Als dit vakje aangevinkt is, wordt automatisch SSH voor router-toegang geconfigureerd, stelt een banner in om inbrekers te waarschuwen, dwingt een minimale wachtwoordlengte af en beperkt het aantal foutieve login-pogingen.

53 Netwerken voor datacommunicatie, practica, Discovery Voer in de dialoogbox Key modulus size een sleutelgrootte van 1024 bits in. Klik op OK. Voer in de dialoogbox Enter SSH Credentials als gebruikersnaam admin in en cisco123 als wachtwoord. Klik op OK.

54 326 Netwerken voor datacommunicatie, practica, Discovery 2 Je ziet nu dat de RSA-sleutel op de router ingesteld is.

55 Netwerken voor datacommunicatie, practica, Discovery Klik in het venster Additional Tasks op de optie VTY. Selecteer Input Protocols Allowed en klik op de knop Edit.

56 328 Netwerken voor datacommunicatie, practica, Discovery 2 Vink bij het Input Protocol het vakje SSH aan en klik dan op OK. Klik wanneer het venster Commands Delivery Status zich opent op OK.

57 Netwerken voor datacommunicatie, practica, Discovery Sluit de Cisco SDM door op de X in de rechterbovenhoek van het venster te klikken. Klik op Yes om het afsluiten van SDM te bevestigen en ga naar stap 3. (Stap 2 laat zien hoe je SSH op een router zonder SDM configureert.)

58 330 Netwerken voor datacommunicatie, practica, Discovery 2 Stap 2: Configureer SSH zonder SDM op een router Opmerking: Als je een router voor SSH configureerd hebt waar SDM op geïnstalleerd is, kun je stap 2 overslaan en direct naar stap 3 gaan. a. Verbind de router-console-poort met een PC met het HyperTerminal-programma, zoals beschreven is in labopdracht , Inschakelen van een Integrated Services Router. b. Login de router in. Voer, vanaf de privileged EXEC-mode-prompt, de onderstaande Cisco IOS CLIcommando s in. Deze commando s bevatten niet alle wachtwoorden die ingesteld moeten worden. Zie hiervoor labopdracht , Configureer basis-router-instellingen met de Cisco IOS CLI, voor de configuratie-instellingen. Opmerking: De router moet draaien op Cisco IOS-software-release 12.2 of later. In dit voorbeeld is de router een Cisco 2620XM die Cisco IOS-software-release 12.2(7r) draait. Configureer de basis-router- en interface-informatie. Router#config terminal Router(config)#hostname CustomerRouter CustomerRouter(config)#ip domain-name customer.com CustomerRouter(config)#username admin privilege 15 password 0 cisco123 CustomerRouter(config)#interface FastEthernet 0/0 CustomerRouter(config-if)#ip address CustomerRouter(config-if)#no shutdown CustomerRouter(config-if)#exit Configureer de remote binnenkomende vty-terminal-lines om Telnet en SSH te accepteren. CustomerRouter(config)#line vty 0 4 CustomerRouter(config-line)#privilege level 15 CustomerRouter(config-line)#login local CustomerRouter(config-line)#transport input telnet ssh CustomerRouter(config-line)#exit Genereer het RSA encryptie-sleutelpaar voor de router om te gebruiken voor authenticatie en encryptie van de SSH-data die verzonden worden. Voer 768 in voor het aantal modulus bits. De default is 512. CustomerRouter(config)#crypto key generate rsa How many bits in the modulus [512] 768 CustomerRouter(config)#exit Verifieer of SSH ingeschakeld is en welke versie er gebruikt wordt. CustomerRouter#show ip ssh Vul, op basis van de uitvoer van het commando show ip ssh, de volgende informatie in. SSH version enabled Authentication timeout Authentication retries Bewaar de running-config in de startup-config. CustomerRouter#copy running-config startup-config

59 Netwerken voor datacommunicatie, practica, Discovery Stap 3: Configureer de SSH-client en verbind de PC met de ISR a. Download putty.exe en plaats de applicatie op de desktop. Start PuTTY door op het putty.exe-icoon te dubbelklikken.

60 332 Netwerken voor datacommunicatie, practica, Discovery 2 b. Klik in het venster Category op SSH en verifieer dat de preferred SSH protocol version op 2 ingesteld is. Opmerking: De Putty-client maakt nog steeds verbinding, zelfs als de SSH-server SSH-versie 1 draait.

61 Netwerken voor datacommunicatie, practica, Discovery Klik in het venster Category op Session. Voer het IP-adres van de LAN-interface in: Verifieer dat SSH geselecteerd is voor de verbindingssoort. Klik op Open.

62 334 Netwerken voor datacommunicatie, practica, Discovery 2 De eerste keer dat er een verbinding naar SSH op de Cisco 1841 ISR met een SSH-client gemaakt wordt, wordt er een sleutel in het register van de lokale machine opgeslagen. Klik in het venster PuTTY Security Alert op Yes om verder te gaan. Typ achter de login-prompt de gebruikersnaam van de administrator admin en druk op Enter.

63 Netwerken voor datacommunicatie, practica, Discovery Typ achter de wachtwoord-prompt het wachtwoord van de administrator cisco123 en druk op Enter.

64 336 Netwerken voor datacommunicatie, practica, Discovery 2 Stap 4: Controleer de configuratie van de Cisco 1841 ISR a. Typ om de configuratie van de router te controleren show run achter de privileged mode-prompt en druk op Enter. Opmerking: Het is niet nodig om van de user-mode naar de privileged mode over te schakelen als je SDM gebruikt, omdat de privileged mode de default mode is. Druk op de Spatiebalk om door de huidige configuratie van de router te scrollen.

65 Netwerken voor datacommunicatie, practica, Discovery Stap 5: Uit de Cisco 1841 ISR uitloggen a. Typ om van de router uit te loggen wanneer je klaar bent met het verifiëren van de configuratie logout achter de privileged mode-prompt en druk dan op Enter. Stap 6: Reflectie a. Wat zijn, bij het vergelijken van Telnet en SSH, enkele voor- en nadelen? Wat is de standaardpoort voor SSH? Wat is de standaardpoort voor Telnet? Wat is de Cisco IOS-software-versie die in de running-config te lezen was?

66 338 Netwerken voor datacommunicatie, practica, Discovery 2 Basis Cisco IOS-configuratie om met SDM op te starten Als de startup-config van een SDM-router gewist is, start SDM niet langer standaard op als de router herstart wordt. Het is dan nodig om een basisconfiguratie als onderstaand op te bouwen. Meer details met betrekking tot de instellingen en het gebruik van SDM zijn te vinden in de SDM Quick Start Guide wp44788 a. Instellen van het router Fa0/0 IP-adres. (Dit is de interface waarop de PC verbinding maakt om met een browser SDM op te starten. Het IP-adres van de PC moet ingesteld worden op ) Opmerking: Een andere SDM-router dan de 1841 kan een verbinding op een andere poort voor toegang tot SDM vereisen. Router(config)#interface Fa0/0 Router(config-if)#ip address Router(config-if)#no shutdown b. Schakel de HTTP/HTTPS-server van de router in. Router(config)#ip http server Router(config)#ip http secure-server Router(config)#ip http authentication local c. Maak een gebruikersaccount met privilege-niveau 15 (enable privileges) aan. Vervang de username en password door de gebruikersnaam en het wachtwoord die je in wilt stellen. Router(config)#username <username> privilege 15 password 0 <password> d. Configureer SSH en Telnet voor lokale login en privilege-niveau 15. Router(config)#line vty 0 4 Router(config-line)#privilege level 15 Router(config-line)#login local Router(config-line)#transport input telnet Router(config-line)#transport input telnet ssh Router(config-line)#exit

67 Netwerken voor datacommunicatie, practica, Discovery Lab D : Een back-upoplossing ontwerpen Doel Context Ontwerp, op basis van het bedrijfsscenario, een geschikte back-up-oplossing Je bent gevraagd om een voorstel voor een back-up-oplossing te ontwerpen voor een kleine zakelijke klant van de ISP waarvoor je werkt. Het kleine bedrijf is bezorgd over het verlies van waardevolle bedrijfsdata en in de laatste drie jaar hebben ze data verloren als gevolg van hardware-storingen en gebruikersfouten. Ze willen er zeker van zijn dat de snelst beschikbare dataherstelmethode in de oplossing ingebouwd wordt. De klant is bereid om alle lokale beheerstaken voor monitoren en beheer van het lokale back-up-systeem op zich te nemen. Huidige data-eisen: Server 1: 50 GB Server 2: 100 GB Server 3: 10 GB Op basis van hun huidige groei in de hoeveelheid data verwacht de onderneming 10% groei van de totale hoeveelheid data elk jaar. De onderneming heeft besloten dat ze een back-up-oplossing willen die hen in staat stelt om gedurende 4 weken dagelijkse back-ups te maken en daarboven 12 maanden van maandelijkse archivering. Ze willen eveneens een oplossing voor tenminste 5 jaar zonder dat de capaciteit overschreden wordt. Opmerking: Je kunt je voorstellen dat ze niet in staat zijn een tape-autoloader of bibliotheeksysteem aan te schaffen, wat betekent dat de capaciteit van de back-up-media zo groot moet zijn dat alle data op één unit moeten passen. Stap 1: Kies de media en back-up-hardware Gebruik, op basis van de in deze cursus beschreven mediatypen, het internet om een geschikt medium te kiezen met een capaciteit die met de eisen van het bedrijf overeenkomt. Er wordt ook van je verlangd dat je de kosten voor aanschaf van de extra hardware onderzoekt en indien nodig de kosten van de media. Bepaal, eveneens op basis van de historische vereisten, het aantal back-up-media. Voer je aanbevelingen in de onderstaande tabel in. Opmerking: De normale bedrijfsuren van de onderneming zijn van maandag tot en met vrijdag, van 8.00 tot uur, maar de werknemers kunnen vanaf 7.00 uur beginnen en doorwerken tot uur. Daarom heeft de onderneming besloten dat de back-up niet eerder begint dan uur en afgerond moet zijn om 6.00 uur de volgende ochtend. De gekozen apparatuur en back-up-media moeten snel genoeg zijn om alle data van alle servers binnen deze periode op te slaan. Apparatuur/ Media Prijs Aantal Stap 2: Ontwerp een back-up-schema en procedure Nu je een beslissing hebt genomen voor de back-up-media wordt het tijd om een back-up-voorstel en een procedure voor het bedrijf voor het beheren van hun back-up-systeem op te stellen. Je moet beslissen welk type back-up het meest geschikt is voor het bedrijf en hoe het bedrijf het verwisselen van de media

68 340 Netwerken voor datacommunicatie, practica, Discovery 2 moet plannen. Het bedrijf heeft een procedure nodig die eenvoudig en makkelijk op te volgen is. De media moeten een goede naam krijgen zodat de klant weet wat op welke dag geback-upt is. Zorg ervoor dat de behoeften van de klant verwerkt worden in je voorgestelde back-up-plan. Bepaal eveneens elk mogelijk probleem of vraag die gesteld kan worden om een goede oplossing voor de klant tot stand te brengen. Beschrijf je plan in de volgende stappen: a. Beschrijf de aanbevolen apparatuur en leg uit waarom je deze apparatuur geselecteerd hebt: Beschrijf de plaats van de apparatuur in het netwerk en de verbindingssnelheid voor de apparatuur: Beschrijf de te gebruiken back-up-media en leg uit waarom je deze media hebt gekozen: Beschrijf het back-up-schema: Beschrijf de back-up- en restore-procedure, inclusief de soort back-up (normaal, differentieel, incrementeel), hoe het getest moet worden, wat voor soort onderhoud de apparatuur nodig heeft, wat voor naam tapes moeten krijgen en waar de back-up-tapes bewaard worden. Wanneer back-ups teruggezet moeten worden, wat is dan de specifieke procedure voor een bestand, een map, een drive (gebruik extra bladen als dat nodig is)?

69 Netwerken voor datacommunicatie, practica, Discovery Lab D : Beheren van Cisco IOS-images met TFTP Doel Context Apparaat Hostnaam Interface IP-adres Subnetmasker R1 R1 FastEthernet 0/ Analyseer de Cisco IOS-image en router-flash-memory Gebruik TFTP om een kopie van de software-image van een router naar een TFTP-server te maken Zet de back-up software-image van een TFTP-server terug naar het flashgeheugen van een router In deze labopdracht gebruik je het commando show flash om de bestanden in het flashgeheugen van de router te bekijken en de beschikbare hoeveelheid geheugen te bepalen. Je gebruikt Trivial File Transfer Protocol (TFTP) server-software om een back-up van de router Cisco IOS-image naar de TFTP-server te maken. Daarna kopieer je de Cisco IOS-image van de TFTP-server terug naar de router. Bouw een netwerk op, vergelijkbaar met dat in de topologietekening. Elke router die met de eisen voor de interfaces uit de tabel overeenkomt zoals een 800, 1600, 1700, 1800, 2500, 2600 of 2800 router, of een combinatie ervan kan gebruikt worden. Zie de Router-interface-overzichtstabel aan het einde van het om te bepalen welke router gebruikt kunnen worden van de apparatuur in het lab. Deze labopdracht gebruikt een Cisco 1841-router met Cisco IOS Afhankelijk van het model van de router, kan de uitvoer afwijken van wat in deze labopdracht staat. Benodigdheden Een router met een Ethernet-interface Een Windows XP computer (of Discovery Server) Cross-over Categorie 5 Ethernet-kabel (H1 naar router R1) Console-kabel (H1 naar router R1) Toegang tot de computer-host command-prompt Toegang tot de computer-host netwerk TCP/IP-configuratie

70 342 Netwerken voor datacommunicatie, practica, Discovery 2 Opmerking: In plaats van een PC te gebruiken en de TFTP-server-software te installeren, kun je de Discovery Server, die een Linux-based TFTP-server-software voorgeïnstalleerd heeft, gebruiken. Overleg met de instructeur over de beschikbaarheid van een Discovery Server CD. De Discovery Server kan de plaats van host H1 in het topologieschema innemen. De IP-adressen die voor de configuratie van host H1 en R1 in deze labopdracht nodig zijn, zijn compatibel met de Discovery Server. Start, vanaf host H1, een HyperTerminal-sessie naar de aangesloten router. Opmerking: Zorg ervoor dat de router gewist is en geen startup-configuratie heeft. Instructies voor het wissen staan in de Lab Manual, die te vinden is op de Academy Connection in de sectie Tools. Overleg met de instructeur als je er niet zeker van bent hoe dit moet. Taak 1: Bouw het netwerk op en verifieer de verbinding Stap 1: Configureer de TFTP-server-host a. Verbind de router en host H1 overeenkomstig het topologieschema. Configureer het host H1 IPadres met de volgende instellingen. IP-adres: Subnetmasker: Default gateway: Stap 2: Log in op de router R1 en configureer de basisinstellingen Stap 3: a. Configureer de host-naam voor R1. Router>enable Router#configure terminal Router(config)#hostname R1 Configureer een console-, vty- en enable secret-wachtwoorden. Configureer synchronous logging voor de console-line. R1(config)#line console 0 R1(config-line)#password cisco R1(config-line)#login R1(config-line)#logging synchronous R1(config-line)#line vty 0 4 R1(config-line)#password cisco R1(config-line)#login R1(config-line)#exit R1(config)#enable secret class R1(config)#exit Configureer een message-of-the-day (MOTD) banner en no ip domain lookup. R1(config)#banner motd #Unauthorized Use Prohibited# R1(config)#no ip domain lookup Configureer de R1 FastEthernet-interface. R1(config)#interface FastEthernet 0/0 R1(config-if)#description R1 LAN Default Gateway R1(config-if)#ip address R1(config-if)#no shutdown R1(config-if)#end Toon de R1-router-configuratie a. Voer het commando show running-config in de privileged EXEC-mode in en verifieer alle configuratiecommando s die je tot zover ingevoerd hebt. Dit commando kan ingekort worden tot sh run.

71 Netwerken voor datacommunicatie, practica, Discovery Stap 4: Stap 5: R1#show running-config Verifieer de basisverbindingen a. Host H1 moet de TFTP-server zijn en router R1 de TFTP-client. Om bestanden te kopiëren naar en van een TFTP-server moet je een IP-verbinding hebben tussen de server en de client. b. Ping vanaf host H1 de FastEthernet-interface van de router op IP-adres Zijn de pings succesvol? Troubleshoot, als de pings niet lukken, de host- en router-configuraties totdat ze het wel doen. Bewaar de configuratie op R1 a. Bewaar, vanuit de privileged EXEC-prompt, de running-configuratie in de startup-configuratie. R1#copy running-config startup-config Taak 2: Verzamel de router-geheugen- en image-informatie Stap 1: Verzamel informatie om de router te documenteren a. Voer vanaf de router HyperTerminal-sessie het commando show version in. Router>show version Wat is de waarde van het config-register? Hoeveel flashgeheugen heeft deze router? Is er tenminste 4 MB (4096 KB) flashgeheugen? (tenminste 4 MB nodig) Wat is het versienummer van de boot-rom? (5.2 of later) Stap 2: Verzamel informatie over het flashgeheugen a. Voer het commando show flash in. Router>show flash Staat de Cisco IOS-image al in flash? Zo ja, wat is de juiste naam van dat bestand? Wat is de grootte van de image in het flashgeheugen? Hoeveel flash is er beschikbaar of ongebruikt? Opmerking: Er moet genoeg totaal flashgeheugen zijn om de nieuwe Cisco IOS-image op te slaan.

72 344 Netwerken voor datacommunicatie, practica, Discovery 2 Taak 3: Stap 1: Gebruik TFTP om de Cisco IOS-image te bewaren Haal de TFTP-server-applicatie op en installeer deze Er zijn vele gratis TFTP-servers beschikbaar. Een zoekopdracht naar free TFTP server identificeert er verscheidene waaruit je kunt kiezen om te downloaden. Deze labopdracht gebruikt de gratis SolarWinds TFTP Server-applicatie. SolarWinds is een multithreaded TFTP-server die meestal gebruikt wordt voor het uploaden en downloaden van uitvoerbare images en configuraties van routers en switches. Het draait op de meeste Microsoft operating-systemen, zoals Windows XP, Vista, 2000 en De SolarWindssoftware vereist dat Microsoft.NET 2.0 framework geïnstalleerd wordt (is). Opmerking: Overleg met de instructeur voor een kopie van SolarWinds of een andere TFTP-server die je kunt installeren. a. Ga naar de SolarWinds-website en download de gratis TFTP-server-software en sla die op je desktop op. b. Dubbelklik op de SolarWinds TFTP-applicatie om met de installatie te beginnen. Selecteer Next. Ga akkoord met de licentieovereenkomst en accepteer de default-instellingen. Klik, nadat de installatie beëindigd is, op Finish. Stap 2: Start de TFTP-applicatie Start de TFTP-server door het kiezen van Start > Programs > SolarWinds TFTP Server > TFTP Server.

73 Netwerken voor datacommunicatie, practica, Discovery Stap 3: Configureer de TFTP-server a. Kies, om de TFTP-server te configureren, File > Configure. Het scherm dat verschijnt moet vergelijkbaar zijn met het onderstaande. Check op de tab General dat de default TFTP Server Root Directory is ingesteld op C:\TFTP-Root. b. Klik op de tab Security. Check of Permitted Transfer Types ingesteld is op Send and Receive files en zet IP Address Restrictions op Only allow the following IP addresses en het router R1 FastEthernet 0/0 IP-adres ( From To ).

74 346 Netwerken voor datacommunicatie, practica, Discovery 2 c. Klik op de tab General, op de knop Start om de TFTP-server te activeren. d. Klik, wanneer dit gebeurd is, op OK. Het scherm moet er vergelijkbaar uitzien als hieronder. e. Op welk well-known UDP-poortnummer werkt de TFTP-server? f. Laat het venster TFTP Server open staan zodat je de activiteiten kunt zien als een bestand gekopieerd wordt. Stap 4: Bewaar het R1 Cisco IOS-image-bestand op de TFTP-server a. Noteer de Cisco IOS-image-bestandsnaam die je wilt kopiëren. b. Start, vanuit de HyperTerminal-sessie op router R1, het uploaden van de Cisco IOS-image naar de TFTP-server met het commando copy flash tftp. Reageer op de prompts zoals hieronder te zien is, maar vervang de image-bestandsnaam die te zien is door die van je router. R1#copy flash tftp Source filename []? c1841-advipservicesk9-mz b.bin Address or name of remote host []? Destination filename [c1841-advipservicesk9-mz b.bin]?!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! bytes copied in secs ( bytes/sec)

75 Netwerken voor datacommunicatie, practica, Discovery Stap 5: Verifieer de TFTP-server-activiteit a. Bekijk het venster TFTP Server, dat de verbindings-entries voor het verzenden van het runningconfig-bestand naar de server laat zien. De uitvoer moet er vergelijkbaar met het onderstaande uitzien. Gebruik Windows Verkenner om de inhoud van de map C:\TFTP-Root\ op de host H1 TFTP-server te bekijken. Verifieer de flash-image-grootte in de TFTP-server-directory. De bestandsgrootte van het commando show flash moet dezelfde grootte hebben als het bestand dat op de TFTP-server opgeslagen is. Neem, als de bestandsgrootte niet identiek is, contact op met de instructeur. Het image-bestand moet er vergelijkbaar uitzien als in het scherm hieronder.

76 348 Netwerken voor datacommunicatie, practica, Discovery 2 Taak 4: Stap 1: Gebruik TFTP om de Cisco IOS-image te updaten Kopieer de image van de TFTP-server a. Zet de image terug op de router. Start de kopie vanaf de privileged EXEC-prompt. Gebruik, wanneer er naar de destination-bestandsnaam gevraagd wordt, de bestandsnaam uit Taak 3, stap 4. R1#copy tftp flash Address or name of remote host []? Source filename []? c1841-advipservicesk9-mz b.bin Destination filename [c1841-advipservicesk9-mz b.bin]? %Warning:There is a file already existing with this name Do you want to over write? [confirm] Accessing tftp:// /c1841-advipservicesk9-mz b.bin... Loading c1841-advipservicesk9-mz b.bin from (via FastEthernet0/ 0):!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! [OK bytes] bytes copied in secs ( bytes/sec) b. Past de image in de beschikbare flash? c. Wat is de grootte van het geladen bestand? d. Wat gebeurt er op het router-console-scherm als het bestand gedownload wordt? Stap 2: Verifieer of de image-transfer succesvol was a. Herstart de router met het commando reload en bekijk het startup-proces om vast te stellen dat er geen flash-errors waren. Als ze er niet waren, moet de router Cisco IOS-software correct gestart zijn. b. Verifieer de nieuwe image in flash met het commando show flash. Hoe kun je zeggen dat de vorige image overschreven is? R1#show flash -#- --length date/time path Feb :25:20 c1841-advipservicesk9-mz b.bin May :25:40 home.shtml May :25:40 sdmconfig-18xx.cfg May :25:42 home.tar May :25:44 common.tar May :25:54 sdm.tar May :26:04 es.tar May :25:42 128MB.sdf Mar :23:20 securedesktop-ios k9.pkg Mar :23:54 sslclient-win pkg bytes available ( bytes used)

77 Netwerken voor datacommunicatie, practica, Discovery Taak 5: Reflectie Hoe kan TFTP gebruikt worden voor het beheren van netwerkapparaatbestanden in een bedrijfsnetwerk? Router-interface-overzichtstabel Routermodel Ethernet-interface #1 Ethernet-interface #2 Seriële interface #1 Seriële interface #2 800 (806) Ethernet 0 (E0) Ethernet 1 (E1) 1600 Ethernet 0 (E0) Ethernet 1 (E1) Serial 0 (S0) Serial 1 (S1) 1700 FastEthernet 0 (FA0) FastEthernet 1 (FA1) Serial 0 (S0) Serial 1 (S1) 1800 FastEthernet 0/0 (FA0/0) FastEthernet 0/1 (FA0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 2500 Ethernet 0 (E0) Ethernet 1 (E1) Serial 0 (S0) Serial 1 (S1) 2600 FastEthernet 0/0 FastEthernet 0/1 Serial 0/0 (S0/0) Serial 0/1 (S0/1) (FA0/0) (FA0/1) 2800 FastEthernet 0/0 (FA0/0) FastEthernet 0/1 (FA0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) Opmerking: Om uit te vinden hoe de router geconfigureerd is, moet je naar de interfaces kijken. De interface identificeert het type router en hoeveel interfaces de router heeft. Er bestaat geen manier om alle combinaties van configuraties voor elke routerklasse efficiënt weer te geven. Wat te zien is, is de indicatie van de mogelijke combinaties van interfaces in het apparaat. Deze interfacekaart bevat niet elk mogelijk interface-type, zelfs als een bepaalde router deze kan bevatten. Een voorbeeld hiervan kan een ISDN BRI-interface zijn. De informatie tussen haakjes is de legale afkorting die met de Cisco IOS-commando s gebruikt kan worden om de interface weer te geven.

78

79 Netwerken voor datacommunicatie, practica, Discovery Lab D : Cisco IOS-images beheren met ROMmon en TFTP Doel Context Device Host- Name Interface IP Address Subnet Mask R1 R1 FastEthernet 0/ Analyseer de Cisco IOS-image en het router-flashgeheugen Back-up een Cisco IOS-software-image naar een TFTP-server Gebruik ROMmonitor (ROMmon) en het commando tftpdnld om een image van een TFTP-server terug te zetten In deze labopdracht gebruik je het commando show flash om de Cisco IOS-image in het routerflashgeheugen te bekijken. Je gebruikt TFTP-server-software om een back-up van de image naar de TFTP-server te maken. Daarna simuleer je het verloren gaan van de image en gebruik je het ROMmoncommando tftpdnld om de image van de TFTP-server terug naar de router te kopiëren. Belangrijk: Controleer eerst alles met de instructeur voordat je Taak 6 van deze labopdracht uitvoert. Het commando tftpdnld wist alle bestaande bestanden in het flashgeheugen voordat een nieuwe software-image in de router gedownload wordt. Als er bestanden in het flashgeheugen van de router staan die je niet kwijt wilt raken, moet er eerst een back-up naar de TFTP-server gemaakt worden en dan terug naar het flashgeheugen gekopieerd worden nadat de Cisco IOS-image teruggezet is. Het proces voor het kopiëren van de bestanden van en naar een TFTP-server is beschreven in labopdracht , Beheren van Cisco IOS-images met TFTP. Bouw een netwerk dat vergelijkbaar is met die in het topologieschema. Elke router waarvan de interfacevereisten overeenkomen met die van de tekening zoals een 800, 1600, 1700, 1800, 2500, 2600 of 2800 router of een combinatie ervan kan gebruikt worden. Zie de Router-interface-overzichtstabel aan het einde van de labopdracht om te bepalen welke interfaces op basis van de apparatuur in de labopdracht gebruikt kunnen worden. Deze labopdracht gebruikt een Cisco 1841-router met Cisco IOSsoftware-release Afhankelijk van het model van de router kan de uitvoer varieren van wat er in deze labopdracht te zien is.

80 352 Netwerken voor datacommunicatie, practica, Discovery 2 Benodigdheden Een router met een Ethernet-interface Een Windows XP computer (of Discovery Server) Cross-over Categorie 5 Ethernet-kabel (H1 naar router R1) Console-kabel (H1 naar router R1) Toegang tot de computer-host command-prompt Toegang tot de computer-host netwerk TCP/IP-configuratie Opmerking: In plaats van een PC te gebruiken en de TFTP-server-software te installeren, kun je de Discovery Server, die een Linux-based TFTP-server-software voorgeïnstalleerd heeft, gebruiken. Overleg met de instructeur over de beschikbaarheid van een Discovery Server CD. De Discovery Server kan de plaats van host H1 in het topologieschema innemen. De IP-adressen die voor de configuratie van host H1 en R1 in deze labopdracht nodig zijn, zijn compatibel met de Discovery Server. Start vanaf host H1 een HyperTerminal-sessie naar de aangesloten router. Opmerking: Zorg ervoor dat de router gewist is en geen startup-configuratie heeft. Instructies voor het wissen staan in de Lab Manual, die te vinden is op de Academy Connection in de sectie Tools. Overleg met de instructeur als je er niet zeker van bent hoe dit moet. Taak 1: Bouw het netwerk en verifieer de verbinding Stap 1: Configureer de TFTP-server-host a. Verbind de router en host H1 volgens het topologieschema. Configureer het IP-adres van host H1 met de volgende instellingen. IP-adres: Subnetmasker: Default gateway: Stap 2: Log op de router R1 in en configureer de basisinstellingen a. Configureer de host-naam voor R1. Router>enable Router#configure terminal Router(config)#hostname R1 Configureer een console-, vty- en schakel secret wachtwoorden in. Configureer synchronous logging voor de console-line. R1(config)#line console 0 R1(config-line)#password cisco R1(config-line)#login R1(config-line)#logging synchronous R1(config-line)#line vty 0 4 R1(config-line)#password cisco R1(config-line)#login R1(config-line)# exit R1(config)#enable secret class R1(config)#exit Configureer een message-of-the-day (MOTD) banner en no ip domain lookup. R1(config)#banner motd #Unauthorized Use Prohibited# R1(config)#no ip domain lookup Configureer de R1 FastEthernet-interface. R1(config)#interface FastEthernet 0/0 R1(config-if)#description R1 LAN Default Gateway R1(config-if)#ip address

81 Netwerken voor datacommunicatie, practica, Discovery Stap 3: Stap 4: Stap 5: R1(config-if)#no shutdown R1(config-if)#end Toon de R1-router-configuratie a. Voer het command show running-config in privileged EXEC-mode in en verifieer alle configuratiescommando s die je tot zover ingevoerd hebt. Dit commando kan ingekort worden tot sh run. R1#show running-config Verifieer de basisverbindingen a. Host H1 is de TFTP-server en router R1 is de TFTP-client. Om bestanden van en naar een TFTPserver te kopiëren, moet je een IP-verbinding tussen de server en de client hebben. b. Ping vanaf host H1 de router FastEthernet-interface op IP-adres Zijn de pings succesvol? Als de pings niet succesvol zijn, troubleshoot de host- en router-configuraties totdat het wel zijn. Bewaar de configuratie op R1 a. Bewaar de running-configuratie in de startup-configuratie vanaf de privileged EXEC-prompt. R1#copy running-config startup-config Taak 2: Verzamel de router-geheugen- en image-informatie Stap 1: Verzamel informatie om de router te documenteren a. Voer vanaf de router HyperTerminal-sessie het commando show version in. Router>show version b. Wat is de waarde van het config-register? c. Hoeveel flashgeheugen heeft de router? d. Wat is het versienummer van de boot-rom? Stap 2: Verzamel informatie over het flashgeheugen a. Voer het show flash command in. Router>show flash Is de Cisco IOS-image al in flash opgeslagen? Zo ja, wat is de precieze naam van dat bestand? Wat is de grootte van de image in het flashgeheugen? Hoeveel flash is er beschikbaar of ongebruikt? Op welke waarde is het configuratieregister ingesteld? Opmerking: Er moet voldoende flashgeheugen zijn om de nieuwe Cisco IOS-image op te slaan. Hoeveel bestanden staan er in het flashgeheugen? R1>show flash -#- --length date/time path Mar :03:50 c1841-advipservicesk9-mz b.bin May :25:40 home.shtml May :25:40 sdmconfig-18xx.cfg May :25:42 home.tar

82 354 Netwerken voor datacommunicatie, practica, Discovery 2 Taak 3: Stap 1: Stap 2: May :25:44 common.tar May :25:54 sdm.tar May :26:04 es.tar May :25:42 128MB.sdf Mar :23:20 securedesktop-ios k9.pkg Mar :23:54 sslclient-win pkg bytes available ( bytes used) Gebruik TFTP om de Cisco IOS-image op te slaan Haal de TFTP-server-applicatie op en installeer deze Er zijn vele gratis TFTP-servers beschikbaar. Een zoekopdracht naar free TFTP server identificeert er verscheidene waaruit je kunt kiezen om te downloaden. Deze labopdracht gebruikt de gratis SolarWinds TFTP Server-applicatie. SolarWinds is een multithreaded TFTP-server die meestal gebruikt wordt voor het uploaden en downloaden van uitvoerbare images en configuraties van routers en switches. Het draait op de meeste Microsoft operating-systemen, zoals Windows XP, Vista, 2000 en De SolarWindssoftware vereist dat Microsoft.NET 2.0 framework geïnstalleerd wordt (is). Opmerking: Overleg met de instructeur voor een kopie van SolarWinds of een andere TFTP-server die je kunt installeren. a. Ga naar de SolarWinds-website en download de gratis TFTP-server-software en sla hem op je desktop op. b. Dubbelklik op de SolarWinds TFTP-applicatie om de installatie te starten. Selecteer Next. Ga akkoord met de licentie-overeenkomst en accepteer de default-instellingen. Klik, nadat de installatie beëindigd is, op Finish. Start de TFTP-applicatie Start de TFTP-server door Start > Programs > SolarWinds TFTP Server > TFTP Server te kiezen. Stap 3: Configureer de TFTP-server a. Kies, om de TFTP-server te configureren, File > Configure. Het venster dat te zien is moet vergelijkbaar met het onderstaande zijn. Controleer op de tab General of de default TFTP-server Root Directory op C:\TFTP-Root ingesteld is.

83 Netwerken voor datacommunicatie, practica, Discovery b. Klik op de tab Security. Controleer dat Permitted Transfer Types op Send and Receive files ingesteld is en IP Address Restrictions op Only allow te following IP addresses op de FastEthernet 0/0 IP-adres van router R1 ingesteld is ( To ). c. Klik op de tab General op de knop Start om de TFTP-server te activeren. d. Klik wanneer dat gebeurd is op OK. Het scherm moet overeenkomen met dat hieronder.

84 356 Netwerken voor datacommunicatie, practica, Discovery 2 Stap 4: e. Met welk well-known UDP-poortnummer werkt TFTP-server? f. Laat het venster TFTP Server open zodat je de activiteiten kunt zien als het bestand gekopieerd wordt. Bewaar het R1 Cisco IOS-image-bestand op de TFTP-server a. Schrijf de Cisco IOS-image-bestandsnaam op die gekopieerd moet worden. b. Start vanaf de HyperTerminal-sessie op router R1 het uploaden van de Cisco IOS-image naar de TFTP-server met het commando copy flash tftp. Reageer op de prompts zoals hier beneden staat, maar vervang de bestandsnaam van de image die te zien is door die van je router. R1#copy flash tftp Source filename []? c1841-advipservicesk9-mz b.bin Address or name of remote host []? Destination filename [c1841-advipservicesk9-mz b.bin]?!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! bytes copied in secs ( bytes/sec)

85 Netwerken voor datacommunicatie, practica, Discovery Stap 5: Verifieer de TFTP-serveractiviteiten a. Bekijk het venster TFTP Server, die de verbindings-entries voor het verzenden van het runningconfig-bestand naar de server laat zien. De uitvoer moet vergelijkbaar met de figuur hieronder zijn. b. Gebruik Windows Verkenner om de inhoud van map C:\TFTP-Root\ op de host H1 TFTP-server te bekijken. Verifieer de grootte van de flash-image in de TFTP-server-directory. De bestandsgrootte van het commando show flash moet hetzelfde zijn als het op de TFTP-server opgeslagen bestand. Neem, als de bestandsgrootten niet hetzelfde zijn, contact met de instructeur op. Het IOS-imagebestand moet vergelijkbaar met dat hieronder zijn. Taak 4: Overwegingen bij de herstelopties Er zijn verschillende opties voor het terugzetten van een beschadigd of ontbrekend Cisco IOS-image. Optie 1. Gebruik van ROMmon en tftpdnld (onderdeel van deze labopdracht) Deze optie kan gebruikt worden als de image ontbreekt of beschadigd is. De router boots up in dit geval in de ROMmonmode. Ethernet- en IP-verbinding moeten voor toegang tot de TFTP-server beschikbaar zijn. Optie 2. Gebruik van ROMmon en xmodem (geen onderdeel van deze labopdracht) Deze optie wordt in noodgevallen gebruikt wanneer de Cisco IOS-image ontbreekt of beschadigd is en er geen mogelijkheid voor het downloaden van een nieuwe versie van een TFTP-server bestaat. Het commando xmodem wordt vanaf de console gebruikt om Cisco IOS-software met ROMmon en HyperTerminal te downloaden. Deze procedure kan ook gebruikt worden als er geen TFTP-servers of netwerkverbindingen zijn en een directe PC-verbinding via de console (of via een modemverbinding) de enig bruikbare mogelijkheid is. Omdat deze procedure op de snelheid van de console van de router en de seriële poort

86 358 Netwerken voor datacommunicatie, practica, Discovery 2 van de PC vertrouwt, kan het lang duren om een image te downloaden. Afhankelijk van de image-grootte en de baud-rate van de console kan het downloaden een aantal uren duren. Optie 3. Vervang de flash-card (geen onderdeel van deze labopdracht) Als de router alleen in ROMmon-mode boot, kun je de image herstellen als je nog een vergelijkbare router met een compatibele flash-card hebt. Je kunt dan de goede Cisco IOS-image van die router downloaden en dan de flash-card in de router die een probleem heeft plaatsen. Taak 5: Werken in de ROMmon-mode Stap 1: Configureer het boot-register om naar de ROMmon-mode te gaan De router start eigenlijk alleen maar in de ROMmon-mode op als de Cisco IOS-software-image beschadigd is. Je kunt het ontbreken van de Cisco IOS-image simuleren door het config-register van de router te wijzigen, zodat hij van de prompt rommon > opstart. Het config-register is normaal ingesteld op 0x2102 om de router van de Cisco IOS-image in flash op te laten starten. Zie de uitvoer van het commando show version in Taak 2, Stap 1 om de config-register-instelling te bekijken. a. Verander het configuratieregister in 0x2100 om de router in ROMmon-mode op te laten starten. Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#config-register 0x2100 Router(config)#exit Router# b. Voer het commando show version in om de nieuwe instellingen van het config-register te bekijken die bij de volgende reload effectief zullen worden. Wat is de laatste regel van de uitvoer van show version? c. Voer het commando reload in om de router te herstarten. Router#reload System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) Technical Support: Copyright (c) 2006 by cisco Systems, Inc. PLD version 0x10 GIO ASIC version 0x127 c1841 platform with Kbytes of main memory Main memory is configured to 64 bit mode with parity disabled Upgrade ROMMON initialized rommon 1 >

87 Netwerken voor datacommunicatie, practica, Discovery Stap 2: Bekijk de commando s die vanaf de ROMmon-prompt beschikbaar zijn Voer een vraagteken (?) vanaf de ROMmon-prompt in. rommon 2 >? alias set and display aliases command boot boot up an external process break set/show/clear the breakpoint confreg configuration register utility cont continue executing a downloaded image context display the context of a loaded image cookie display contents of motherboard cookie PROM in hex dev list the device table dir list files in file system dis disassemble instruction stream dnld serial download a program module frame print out a selected stack frame gioshow show the gio version help monitor builtin command help history monitor command history iomemset set IO memory percent meminfo main memory information repeat repeat a monitor command reset system reset rommon-pref Select ROMMON set display the monitor variables showmon display currently selected ROM monitor stack produce a stack trace sync write monitor environment to NVRAM sysret print out info from last system return tftpdnld tftp image download unalias unset an alias unset unset a monitor variable xmodem x/ymodem image download Stap 3: Opzoeken van een goed image in flash In bepaalde gevallen mislukt het een Cisco IOS-image goede te laden en start de router op met de ROMmon-prompt, maar kan de image nog steeds goed zijn. Er kunnen ook meer dan één image in het flashgeheugen staan. Je kunt dan het boot-commando vanaf de ROMmon-prompt gebruiken om te proberen een enkele image te laden of je kunt één van de meerdere images in flash kiezen als die bestaan. a. Voer vanaf de ROMmon-prompt het commando dir flash: in. Kijk voor een goede Cisco IOSsoftware-image. rommon 3 > dir flash: program load complete, entry point: 0x8000f000, size: 0xcb80 Directory of flash: rw- c1841-advipservicesk9-mz b.bin rw- 128MB.sdf rw- common.tar rw- es.tar rw- home.shtml rw- sdm.tar rw- sdmconfig-18xx.cfg rw- securedesktop-ios k9.pkg rw- sslclient-win pkg rommon 4 >

88 360 Netwerken voor datacommunicatie, practica, Discovery 2 Stap 4: Boot een image die bij de vorige stap te zien was (meestal bestanden met een.bin-extensie). Als de image goed is, kom je weer terug bij de normale werking. rommon 4 >boot flash:c1841-advipservicesk9-mz b.bin program load complete, entry point: 0x8000f000, size: 0x150a6d4 Self decompressing the image : ########################################################################## ###########... Herstart de router met het reload-commando. Hij komt weer in de ROMmon-mode, omdat het config-register nog steeds op 0x2100 ingesteld staat. Reset het config-register zodat de router vanaf flash opstart bij de volgende reload Stel vanaf de ROMmon-prompt het boot register weer op 0x2102 in, voordat de Cisco IOS-image verzonden wordt met het confreg-commando. Afhankelijk van het model router en ROMmon-prompt moet je het commando o/r gebruiken. Opmerking: Het nummer van de ROMmon-prompt wordt na elk commando verhoogd. of Taak 6: Stap 1: rommon 5 > confreg 0x2102 > o/r 0x2102 De router reageert met: You must reset or power cycle for new config to take effect rommon 6 > Opmerking: Reset de router op dit moment niet. Gebruik ROMmon en tftpdnld om een Cisco IOS-image terug te zetten Belangrijk: Overleg met de instructeur voordat je Taak 6 in deze labopdracht uitvoert. Het commando tftpdnld wist alle aanwezige bestanden in het flashgeheugen voor het downloaden van een nieuwe software-image naar de router. Als er bestanden in het flashgeheugen van de router staan die je niet kwijt wilt raken, moeten ze naar de TFTP-server gekopieerd worden en nadat de Cisco IOS-image teruggezet is weer naar de flash gekopieerd worden. Het proces voor het kopiëren van bestanden van en naar een TFTP-server is beschreven in labopdracht , Beheren van Cisco IOS-images met TFTP. Opmerking: Het uitvoeren van deze taak geeft in de labomgeving problemen, lees daarom alle stappen door om bekend met de procedure te worden. Gebruik het commando tftpdnld voor het verzenden van de image a. Noteer de naam van het Cisco IOS-image die te zien was in de uitvoer van show flash in Taak 2, stap 2. Dit bestand is op de TFTP-server opgeslagen.

89 Netwerken voor datacommunicatie, practica, Discovery De ROMmon TFTP-transfer werkt alleen met de eerste LAN-poort. Om TFTP in ROMmon-mode te gebruiken, moet je eerst een aantal omgevingsvariabelen, zoals het IP-adres van de LAN-interface, instellen en dan het commando tftpdnld gebruiken om de image terug te zetten. Typ, om een ROMmon omgevingsvariabele in te stellen, de variabele naam, een is-gelijkteken (=) en de waarde van de variabele. Typ om bijvoorbeeld het IPadres op in te stellen IP_ADDRESS= De benodigde omgevingsvariabelen zijn: IP_ADDRESS IP-adres van de LAN interface IP_SUBNET_MASK Subnetmasker voor de LAN interface DEFAULT_GATEWAY Default gateway voor de LAN interface TFTP_SERVER IP-adres van de TFTP-server TFTP_FILE Cisco IOS-bestandsnaam op de server Voer de omgevingsvariabelen als volgt in (zorg ervoor de image-naam te vervangen door de imagenaam voor de router die je gebruikt). rommon 7 > IP_ADDRESS= rommon 8 > IP_SUBNET_MASK= rommon 9 > DEFAULT_GATEWAY= rommon 10 > TFTP_SERVER= rommon 11 > TFTP_FILE=c1841-advipservicesk9-mz b.bin Gebruik het commando set om de ROMmon omgevingsvariabelen te zien en te controleren. rommon 12 > set PS1=rommon! > BSI=0 RANDOM_NUM= WARM_REBOOT= RET_2_RTS=18:04:12 UTC Mon Feb RET_2_RCALTS= ?=0 IP_ADDRESS= IP_SUBNET_MASK= TFTP_SERVER= TFTP_FILE=c1841-advipservicesk9-mz b.bin

90 362 Netwerken voor datacommunicatie, practica, Discovery 2 Gebruik het commando tftpdnld om de transfer van de Cisco IOS-image vanaf de TFTP-server te starten. Voor elk datagram van het Cisco IOS-bestand dat ontvangen is, wordt er een uitroepteken (!) getoond. Wanneer het gehele Cisco IOS-bestand gekopieerd is, wordt het flashgeheugen gewist en het nieuwe image-bestand opgeslagen. rommon 13 > tftpdnld IP_ADDRESS: IP_SUBNET_MASK: DEFAULT_GATEWAY: TFTP_SERVER: TFTP_FILE: c1841-advipservicesk9-mz b.bin TFTP_MACADDR: 00:1b:53:25:25:6e TFTP_VERBOSE: Progress TFTP_RETRY_COUNT: 18 TFTP_TIMEOUT: 7200 TFTP_CHECKSUM: Yes FE_PORT: 0 FE_SPEED_MODE: Auto Detect Invoke this command for disaster recovery only. WARNING: all existing data in all partitions on flash: will be lost! Do you wish to continue? y/n: [n]: y. Receiving c1841-advipservicesk9-mz b.bin from !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! <output omitted>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! File reception completed. Validating checksum. Copying file c1841-advipservicesk9-mz b.bin to flash:. program load complete, entry point: 0x8000f000, size: 0xcb80 Format: Drive communication & 1st Sector Write OK... Writing Monlib sectors Monlib write complete Format: All system sectors written. OK... Format: Operation completed successfully. Format of flash: complete program load complete, entry point: 0x8000f000, size: 0xcb80 Herstart, wanneer de ROMmon-prompt verschijnt, de router met het commando reset of typ de letter i. De router moet nu vanaf de nieuwe Cisco IOS-image in flash opstarten. rommon 14 > reset

91 Netwerken voor datacommunicatie, practica, Discovery Stap 2: Verifieer dat de image-bestandstransfer succesvol was a. Herstart de router met het commando reload en observeer het startup-proces om je ervan te overtuigen dat er geen flash-errors zijn. Als er geen errors zijn, moet de router Cisco IOS-software correct gestart zijn. b. Verifieer de nieuwe image in flash met het commando show flash. R1#show flash -#- --length date/time path Feb :25:20 c1841-advipservicesk9-mz b.bin bytes available ( bytes used) c. Hoeveel bestanden staan er nu in het flashgeheugen? Taak 7: Reflectie Wat zijn enkele voor- en nadelen om ROMmon en tftpdnld voor het terugzetten van een Cisco IOSimage te gebruiken?

92 364 Netwerken voor datacommunicatie, practica, Discovery 2 Router-interface-overzichtstabel Routermodel Ethernet-interface #1 Ethernet-interface #2 800 (806) Ethernet 0 (E0) Ethernet 1 (E1) Seriële interface #1 Seriële interface # Ethernet 0 (E0) Ethernet 1 (E1) Serial 0 (S0) Serial 1 (S1) 1700 FastEthernet 0 FastEthernet 1 Serial 0 (S0) Serial 1 (S1) (FA0) (FA1) 1800 FastEthernet 0/0 (FA0/0) FastEthernet 0/1 (FA0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 2500 Ethernet 0 (E0) Ethernet 1 (E1) Serial 0 (S0) Serial 1 (S1) 2600 FastEthernet 0/0 FastEthernet 0/1 Serial 0/0 (S0/0) Serial 0/1 (S0/1) (FA0/0) (FA0/1) 2800 FastEthernet 0/0 (FA0/0) FastEthernet 0/1 (FA0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) Opmerking: Om uit te vinden hoe de router geconfigureerd is, moet je naar de interfaces kijken. De interface identificeert het type router en hoeveel interfaces de router heeft. Er bestaat geen manier om alle combinaties van configuraties voor elke routerklasse efficiënt weer te geven. Wat te zien is, is de indicatie van de mogelijke combinaties van interfaces in het apparaat. Deze interfacekaart bevat niet elk mogelijk interface-type, zelfs als een bepaalde router deze kan bevatten. Een voorbeeld hiervan kan een ISDN BRI-interface zijn. De informatie tussen haakjes is de legale afkorting die met de Cisco IOS-commando s gebruikt kan worden om de interface weer te geven.