Category Archives: Sieci komputerowe

Sieci komputerowe

CISCO – konfiguracja VLAN

Do pierwszych 4 portów przełącznika wpięte są 4 komputery.
Na przełączniku należy stworzyć 2 VLANy:
VLAN 10 – dla nauczycieli, do którego będą należeć dwa pierwsze komputery, podpięte do switcha do portów FastEthernt 0/1 i FastEthernet 0/2
VLAN 20 – dla uczniów, do których będą należeć dwa kolejne komputery, podpięte do switcha do portów FastEthernt 0/3 i FastEthernet 0/4

Switch>
Switch>enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 10
Switch(config-vlan)#name uczniowie
Switch(config-vlan)#vlan 20
Switch(config-vlan)#name nauczyciele
Switch(config-vlan)#end
Switch#
%SYS-5-CONFIG_I: Configured from console by console
Switch#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gig0/1, Gig0/2
10 uczniowie active
20 nauczyciele active
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
20 enet 100020 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
Remote SPAN VLANs
------------------------------------------------------------------------------
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------
Switch#

Komenda show vlan wyświetla wszystkie skonfigurowane na przełączniku VLANy. Widać że do domyślnego VLANu 1 przypisane są wszystkie poty Ethernet.
Port 1 i 2 należy przypisać do VLANu 10, a port 3 i 4 do VLANu 20.

Switch>enable
Switch#config t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface range fastEthernet 0/1-2
Switch(config-if-range)#switchport access vlan 10
Switch(config-if-range)#interface range fastethernet 0/3-4
Switch(config-if-range)#switchport access vlan 20
Switch(config-if-range)#

Następnie do przełącznika do portu GigabitEthernet 0/1 zostaje podpięty kolejny switch (również przez port GE 0/1), który będzie skonfigurowany tak jak ten w/w, czyli do portu FE 0/1 oraz FE 0/2 będą podpięte komputery nauczycieli, zaś do portu FE 0/2 i FE 0/3 będą podpięte komputery uczniów.
Aby było to możliwe, porty którymi są połączone jeden przełącznik z drugim muszą zostać skonfigurowane w tryb Trunk, czyli przez jeden łącze muszą zostać przetransportowane (rozpropagowane) VLANy 10 i 20. Łącza Trunk są również nazywane magistralami 802.1Q.

Switch>enable 
Switch#config t
Switch(config)# vlan 99 Switch(config-vlan)# name native
Switch(config-vlan)# exit
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20
Switch(config-if)# switchport trunk native vlan 99

Do uniemożliwienia przesyłania łączem Trunk wszystkich VLANów, a tylko wybranych służy polecenie allowed.
Powyższe komendy to utworzenie nowego VLANu o numerze 99 i ze względów bezpieczeństwa zmiana natywnego, z numeru 1 na numer 99 (ponieważ ruch nieoznakowany wpada z definicji protokołu 802.1Q do VLANu nr 1).

 

Zabezpieczenie portów przełącznika CISCO

Konfiguracja portu przełącznika CISCO tak, aby do danego portu mogło być podłączone tylko jedno lub wiele urządzeń o podanych adresach MAC.

configure t
int range f0/1-15

Porty przełącznika domyślnie są ustawione jako Dynamic Auto. Należy je przestawić na Access Port.

switchport mode access

Przypisanie portom aktualnie podłączonych adresów MAC

switchport port-security mac-address sticky

Przypisanie portom przełącznika tylko jednego adresu MAC. Więcej adresów jest niedozwolonych.

switchport port-security max 1

Jeśli naruszy ktoś zasadę i podepnie do portu następny przełącznik i więcej urządzeń lub o innym adresie MAC, wtedy port się wyłączy.

switchport port-security violation shut

Zakończenie konfiguracji oraz jej zapamiętanie.

exit
exit
copy run start

Sprawdzenie zabezpieczenia portów, ich stanów (czyli informacji o ewentualnych naruszeniach polityki – kolumna SecurityViolation (Count)) oraz tablicy MAC:

sh port-security
sh mac-address-tabl

 

Wstępna konfiguracja przełącznika CISCO

//Introducing to Networking for CCNA
//Network Layer Addressing and Subnetting
//Configuring a CISCO Router
//Ethernet Operation and Switch Configuration
//VLAN Operation and Configuration

config
hostname Switch1
ip domain-name firma.pl
banner motd #to jest switch testowy#

//stworzenie hasła
enable secret cisco

//stworzenie użytkownika admin z hasłem cisco w celu połączenia przez SSH
username admin secret cisco

//wygenerowanie klucza i włączenia SSH
crypto key generate rsa

How meny bits on the modulus [512]: 2048

//włączenie SSH ver 2
ip ssh ver 2

//zaszyfrowanie wszystkich haseł w systemie
service password-encryption

//zabezpieczenie hasłem dostępu przez konsolę
line con 0
password cisco

//wymuszenie podania loginu przy dostępie przez konsolę
login

//konfiguracja połączenia ssh, vtv 0 4 znaczy że urządzenie pozwala na 5 jednoczesnych połączeń przez Telnet lub SSH
line vty 0 4
login local
transport input ssh
exit

//stworzenie wirtualnego interfejsu SVI (switch virtual interface) w celu połączenia SSH
interface vlan1
ip address 10.0.0.5 255.255.255.0
no shutdown
exit

show running

copy running-config startup-config

MikroTik – tworzenie kopii zapasowej ustawień konfiguracji

Najlepszą metodą tworzenia kopii zapasowej ustawień RouterOS oraz ich przywracania jest eksport i import za pomocą poniższych komend:

export file=backup.rsc

I tak, najważniejsze ustawienia do backupu:

export file=backup_verbose.rsc
ip address export file=ip_address.rsc
ip dns export file=ip_dns.rsc
ip cloud export file=cloud.rsc
system ntp client export file=system-ntp-client.rsc
ppp export file=ppp.rsc
system identity export file=system-identity.rsc
system script export file=system-script.rsc
user export file=user.rsc

Import ustawień odbywa się za pomocą komendy:

import file=backup.rsc

Orange – wyłączenie zapory operatora

Aby wyłączyć domyślnie włączoną zaporę Orange należy w loginie usługi, dokładnie przed loginem napisać „bez_ochrony-” (po myślniku dopiero login@neostrada.pl)

Więcej informacji u samego źródła:
https://www.orange.pl/kid,4000377334,id,4002357192,title,Bezpieczny-Dostep,article.html?searchedElementType=articleTab:0001c5a83236-e9d1-37a6-9208-3f16e8f72626&bookmarkList=&referenceDocumentType=esupport_article&referenceElementId=BET1c5a83236-e9d1-37a6-9208-3f16e8f72626&pageLink=/kid,4000377334,id,4002357192,title,Bezpieczny-Dostep,article.html&skin=

Wgrywanie oprogramowania OpenWRT do routera TL-WR740N v4.xx

Aby wgrać oprogramowania OpenWRT do routera TL-WR740N v4.xx należy pobrać ze strony
https://downloads.openwrt.org/releases/17.01.6/targets/ar71xx/generic/ odpowiednią wersję i wgrać ją przez GUI zainstalowanego oprogramowania. Wersja sysupgrade służy do aktualizacji wcześniej wgranej wersji OpenWRT lub Gargoyle. Wersja factory służy do wgrania przez oryginalne oprogramowanie TP-Linka.

MikroTik – discover fake DHCP server

Aby wykryć inny serwer DHCP w sieci należy skonfigurować Alert w serwerze DHCP routera MirkoTik:

/ip dhcp-server alert
add interface=bridge1 valid-server=xx:xx:xx:xx:xx:xx
add disabled=no interface=bridge1 on-alert="/tool e-mail send to=\"E-MAIL_ADDRESS@gmail.com\" subject=\"\$[/system identity get name] - Fake DHCP Server discovered \$[/system clock get time]\"" \
valid-server=xx:xx:xx:xx:xx:xx

gdzie:
valid-server=xx:xx:xx:xx:xx:xx – adres MAC serwera DHCP,
interface=bridge1 – bridge/interfejs na którym działa serwer DHCP

W artykule http://localhost/obsluga-it/mikrotik-backup-to-e-mail/ została opisana konfiguracja serwera e-mail w routerze MikroTik.

MikroTik – backup to e-mail

W celu konfiguracji automatycznej kopii ustawień
routera MikroTik na e-mail należy najpierw skonfigurować konto pocztowe. Poniżej przedstawiona jest konfiguracja dla konta Gmail. Zamiast „USER_NAME_TYPE_HERE ” należy wpisać swoją nazwę (login) użytkownika Gmail a w polu ” PASSWORD_TYPE_HERE ” swoje hasło.
Należy również pamiętać, aby w konfiguracji powyższego konta zezwolić na korzystanie z niego na mniej bezpiecznych aplikacjach poprzez zaznaczenie opcji ON na stronie: https://myaccount.google.com/lesssecureapps .

/tool e-mail
set address=74.125.141.108 from=USER_NAME_TYPE_HERE@gmail.com password=PASSWORD_TYPE_HERE port=587 start-tls=yes user=USER_NAME_TYPE_HERE@gmail.com

Następnie należy stworzyć skrypt odpowiedzialny za utworzenie pliku z wszystkimi ustawieniami routera i wysłanie go na adres e-mail.

/system script
add dont-require-permissions=no name=backup2email owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=\
"/export file=export\r\
\n/tool e-mail send to=\"WHERE_TO_SEND@gmail.com\" subject=\"\$[/system identity get name] export\" \\r\
\nbody=\" configuration file \$[/system clock get date]\" file=export.rsc"

Ostatnią czynnością jest dodanie wpisu w scheduler, aby kopia wykonywała się systematycznie (w tym przypadku co tydzień).

/system scheduler
add interval=1w name=Backup2email on-event="backup2email\r\
\n" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=mar/13/2019 start-time=13:59:26