Per aumentare il livello di sicurezza del nostro router è possibile ovviamente fare uso di password ma anche dei così detti Privileged Levels.
Per quanto riguarda le password ne esistono di due tipi: la Enable Password e le Line Password. La Enable Password è la password necessaria per passare allo stato di Privileged Mode mentre le Line Password proteggono da accessi esterni quali porta console, porta auxiliary e dal servizio telnet.
Lo standard 802.1w di IEEE descrive il Rapid Spanning Tree Protocol, rivisitazione del più datato 802.1d STP.
RSTP riprende molte delle funzioni e concetti del fratello maggiore:
Lo scopo principale di RSTP e motivo del suo sviluppo è una maggiore rapidità di convergenza, che è sempre stato il punto debole di STP.
La funzione fondamentale di un dispositivo di routing è provvedere a instradare il traffico di pacchetti IP per le migliori “strade”, possibilmente, senza farci incorrere in loops.
Per ottenere questo risultato ci sono diversi metodi che si possono riassumere in due principali: routing statico e routing dinamico.
Il routing “statico” richiede l’intervento umano nella scelta delle rotte. Tutto viene configurato dalla mano, esperta o meno, dell’amministratore. A seconda dei bisogni e della situazione, l’impostazione di tipo statica del routing può essere un vantaggio o uno svantaggio; sicuramente è accettabile come soluzione fin quando il numero di dispositivi rimane basso.
Molto spesso ci capita di dover rileggere la nostra configurazione in fretta e magari ci interessa soltanto un parametro specifico.
Pertanto fare un sh conf (per esempio) può diventare molto ridondante.
Dalla versione 12.2(8)T di IOS in avanti è disponibile il comando “do” che ci permette di usare comandi, disponibili solo in Privilege Mode, in Global Configuration Mode.
Ma come funziona? E’ molto semplice: precediamo al comando che vogliamo dare la parola “do”.
Questo breve articolo vuole essere di completamento al mio precedente Cisco VLAN Trunking Protocol.
Tra le altre cose, avevo presentato la configurazione necessaria ad impostare un dominio VTP di base utilizzando il metodo che sono solito usare, che per comodità chiameremo “VLAN Database”; questo e’ tra l’altro l’unico metodo-modalità disponibile sui Catalysts più datati, se non erro 12.0 e precedenti.
Come molto altro materiale presente liberamente su Internet, anche questo è fornito nella speranza che sia utile alla comunità Internet italiana, raccogliendo materiale da varie fonti e facendo ricorso alle conoscenze specifiche dei partecipanti al newsgroup, senza la pretesa di fornire soluzioni complete e funzionanti, ma dando i necessari concetti, o gli spunti da cui partire, per realizzare una topologia e delle configurazioni ottimizzati e sicuri; è comunque lasciato al lettore il compito di valutare l’utilità e l’opportunità di utilizzo delle informazioni qui raccolte. Inutile dire che ogni modifica alla configurazione dei vostri apparati è sotto la vostra responsabilità e di nessuno altro.
La CCNA (Cisco Certified Network Associate) è la certificazione base della Cisco per l’installazione, configurazione e manutenzione di LAN, WAN, dial access e di piccole reti (100 nodi), inclusi l’apprendimento dei protocolli TCP/IP, RIP, IGRP, EIGRP, OSPF e naturalmente PPP, HDLC e le tecnologie ISDN e Frame Relay. Inoltre questa certificazione introduce e approfondisce diversi aspetti dello Switching e VLANs e di protocolli come Cisco VTP. Completano la formazione l’attività pratica di configurazione, uso e troubleshooting dei dispositivi quali Router e Switches Cisco, con particolare riferimento ai modelli Cisco Serie 1600, 1700, 2500, 2600, 3000 e Catalyst serie 1900, 2900,3500 e 6000.
Per ottenere la CCNA bisogna sostenere un esame (o due) presso un centro autorizzato Prometric (http://www.prometric.com) o Vue (http://www.vue.com). A seconda delle conoscenze precluse del candidato è consigliabile l’iscrizione presso una Academy locale e la frequentazione di un corso, il self-study sul materiale Online (Curriculum) e libri editi da Cisco Press (che contengono trascrizione su carta del Programma di Studio ufficiale di Cisco, il Curriculum). Con l’arrivo della nuova versione, la CCNA può essere conseguita affrontando, come detto sopra, un singolo esame (il 640-801), oppure due esami, “spezzando” in due parti, se si sente la necessità, il percorso di certificazione in INTRO (640-811) e ICND (640-821).
La CCNA (Cisco Certified Network Associate) è la certificazione base della Cisco per l’installazione, configurazione e manutenzione di LAN, WAN, dial access e di piccole reti (100 nodi).
Per ottenere la CCNA bisogna sostenere un esame presso un centro autorizzato Prometric (http://www.prometric.com) o Vue (http://www.vue.com).
Le ACL (Access Control List) sono una lista di istruzioni applicate alle interfacce del router. Queste istruzioni indicano al router quali pacchetti accettare e quali scartare in base alle specifiche delle ACL.
Le ACL possono essere standard, Standard ACL, oppure estese, Extended ACL. Le prime specificano delle limitazioni ai pacchetti guardando esclusivamente l’indirizzo della sorgente e vanno posizionate sull’interfaccia del router il più possibile vicino alla destinazione finale. Le seconde, invece, pongono le limitazioni ai pacchetti in base a molte specifiche, come il protocollo usato, l’indirizzo di sorgente, l’indirizzo di destinazione e la porta a cui è indirizzato il pacchetto.
[toc style=”margin-top:5px”]
Nella memoria RAM è presente l’attuale configurazione e riserva anche l’ARP cache, fast-switching cache, il buffer occupato dai pacchetti e le tabelle di routing. Il contenuto della RAM si perde allo spegnimento o reboot del router.
[toc]
E’ bene, se dobbiamo eseguire delicate operazioni su di un router, eseguire il backup dell’IOS a fronte anche di evitare i soliti “ho dato un erase flash per sbaglio”. Per fare ciò, entra in gioco il protocollo TFTP (Trivial File Transfer Protocol) ovvero l’equivalente del protocollo FTP con la sostanziale differenza di utilizzo del protocollo di trasmissione UDP e non TCP. Questa caratteristica non assicura la corretta ricezione di tutti i pacchetti.
Il protocollo TFTP, visto la sua limitatezza, è utilizzato solitamente per il trasferimento file tra un computer e un apparato di rete quale switch o router.
Una sessione TFTP prevede i seguenti cinque tipi di pacchetti:
Non sto qui a spiegare il procedimento di installazione su Windows in quanto molto banale: cerchiamo su Google un qualsiasi server TFTP, ad esempio PumpKin e lo installiamo. Per quanto riguarda Linux io consiglio di installare atftpd come TFTP Server. Su Debian è sufficiente un semplice:
# apt-get install atftpd
Apt-get, come sempre, scaricherà il pacchetto e lo installerà, preoccupandosi anche di avviare fin da subito il servizio tftpd. Il servizio TFTP è in ascolto sulla porta 69. Se non avete a vostra disposizione apt-get, potete usare il gestore di pacchetti della vostra distribuzione o comunque scarivarvi i sorgenti e compilarveli.
Una volta installato, creiamo la directory in cui il demone TFTP lavorerà e avviamo atftpd come segue:
$ mkdir /tftpboot $ /usr/sbin/atftpd --daemon --no-multicast --group nobody --tftpd-timeout 0 -m 1000 /tftpboot
Ma a cosa può servire nel nostro caso avere un server TFTP? Come detto precedentemente, questo protocollo è solitamente utilizzato per trasferimenti di file tra un computer e un apparato di rete. L’IOS dei router Cisco predispone svariati comandi per sfruttare il TFTP che ci sarà utile per fare, ad esempio, il backup e/o upload del nostro IOS o della configurazione. Tengo a specificare, comunque, che un TFTP server non deve essere necessariamente un computer ma tranquillamente anche un altro router.
Bene. Prestiamoci ora a far interagire il router con il nostro TFTP server. Per prima cosa assicuriamoci che i due abbiano la facoltà di comunicare attraverso TCP/IP. Proviamo, quindi, dal router a pingare l’indirizzo IP del server TFTP:
router#ping 192.168.0.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.0.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms router#
Corretto. Il router pinga il server TFTP.
Vediamo cosa possiamo fare sfruttando tale servizio. L’IOS mette a disposizione vari comandi come copy flash tftp, copy tftp flash e altri che ora vedremo.
Questo comando serve per copiare (copy) il contenuto della memoria flash cioè l’IOS (flash) all’interno del nostro server TFTP (tftp). In sostanza facciamo un backup dell’immagine dell’IOS per salvaguardarci da ipotetiche problematiche legate a operazioni “delicate” come l’aggiornamento dell’IOS stesso.
Prima ci siamo assicurati che il router e il server TFTP potessero comunicare tramite TCP/IP. Assicuriamoci anche che il servizio TFTP sia effettivamente avviato nel server. Nota importante: nei sistemi operativi Unix occorre prima creare un file che abbia lo stesso nome con il quale salveremo l’IOS. Poniamo quindi il caso di avere, nel nostro router, un IOS di nome c2600-js-mz.122-11.T1.bin e di voler salvarlo nel nostro server.
Nella directory del TFTP (di solito /tftpboot) creeremo, quindi, il file omonimo e gli assegneremo anche i corretti permessi:
debian:/tftpboot# touch c2600-js-mz.122-11.T1.bin debian:/tftpboot# ls c2600-js-mz.122-11.T1.bin debian:/tftpboot# debian:/tftpboot# chmod a+w c2600-js-mz.122-11.T1.bin debian:/tftpboot#
Bene. Ora, nel router, possiamo procedere con il backup dell’IOS sul server TFTP:
router# copy flash tftp Source filename []? c2600-js-mz.122-11.T1.bin Address or name of remote host []? 192.168.0.2 Destination filename [c2600-js-mz.122-11.T1.bin]? !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!! 15771048 bytes copied in 48.908 secs (322464 bytes/sec)
Fatto. Abbiamo appena salvato l’IOS. Questi comandi sono facilmente interpretabili: copia il contenuto della memoria flash all’interno del server TFTP.
Abbiamo a nostra disposizione due comandi: copy running-config tftp e copy startup-config tftp che rispettivamente servono a copiare e salvare la configurazione attuale (cioè quella che il router utilizza in questo momento preciso ma che non è detto che sia la configurazione di startup) e quella appunto di startup.
router#copy startup-config tftp Address or name of remote host []? 192.168.0.2 Destination filename [cisco2600-confg]? !! 964 bytes copied in 0.044 secs (21909 bytes/sec) router#
o comunque running-config a seconda di quello che serve.
Quando abbiamo la necessità di implementare e utilizzare una nuova tecnologia o servizio, può accadere che l’IOS attualmente in uso nel nostro router o switch che sia, non sia più in grado di adempiere a quanto da noi voluto. Questo perchè esiste un IOS per ogni tipologia di feauture. Procuriamoci, pertanto, il nuovo IOS e mettiamolo in /tftpboot del server TFTP. Dopo di che:
Password: cisco2600>en Password: router# router#copy tftp flash Address or name of remote host []? 192.168.0.2 Source filename []? c2600-ipbase-mz.123-13.bin Destination filename [c2600-ipbase-mz.123-13.bin]? Accessing tftp://192.168.0.2/c2600-ipbase-mz.123-13.bin... Erase flash: before copying? [confirm] Erasing the flash filesystem will remove all files! Continue? [confirm] Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeee eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erasedee Erase of flash: complete Loading c2600-ipbase-mz.123-13.bin from 192.168.0.2 (via FastEthernet0/1): !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! [OK - 9507696 bytes] Verifying checksum... OK (0x7CE9) 9507696 bytes copied in 66.360 secs (143275 bytes/sec) router#
Poniamo attenzione a questa domanda: Erase flash: before copying? [confirm]. Se confermiamo, tutto il contenuto della memoria flash verrà cancellato. Ricordo che la memoria flash è in grado di contenere molteplici versioni di IOS, quindi possiamo anche rispondere “No”.
Il nuovo IOS è appena stato copiato dentro la memoria flash del nostro router. Ora, per far sì che il router utilizzi il nuovo IOS, lo dobbiamo riavviare. Quindi:
router#reload Proceed with reload? [confirm] *Mar 1 01:01:43.623: %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload command. System Bootstrap, Version 12.2(7r) [cmong 7r], RELEASE SOFTWARE (fc1) Copyright (c) 2002 by cisco Systems, Inc. C2600 platform with 65536 Kbytes of main memory
Una volte terminato il reload, verichiamo che effettivamente il router abbia caricato il nuovo IOS:
router#sh flash System flash directory: File Length Name/status 1 9507696 c2600-ipbase-mz.123-13.bin [9507760 bytes used, 6745164 available, 16252924 total] 16384K bytes of processor board System flash (Read/Write) router#
Come possiamo vedere dall’output del comando, abbiamo il nostro nuovo IOS.
Poniamo il caso di dover cambiare la configurazione del nostro Cisco. Se sono cambiamenti minimi, li possiamo effettura manualmente. Al contrario, se sono radicali, apportarli manualmente è solo uno spreco di tempo. Se abbiamo un file di configurazione già fatto e pronto a essere usato, possiamo usare il comando copy tftp startup-config per caricare direttamente l’intera nuova configurazione.
router#copy tftp startup-config Address or name of remote host []? 192.168.0.2 Source filename []? new_config Destination filename [startup-config]? Accessing tftp://192.168.0.2/new_config... Loading new_config from 192.168.0.2 (via FastEthernet0/1): ! [OK - 3110 bytes] Smart-init will be enabled upon reload. [OK] 3110 bytes copied in 9.964 secs (312 bytes/sec) router#
Ecco fatto, abbiamo appena copiato la nuova configurazione nella memoria NVRAM. Stiamo attenti a fare questo. Se state facendo delle prove fate attenzione a non copiare nella NVRAM (quindi usando startup-config) una configurazione che non conoscete: ricordatevi che potrebbe avere della password criptate, in tal caso dovrete ricorrere al Password Recovery. Piuttosto, copiatevi sempre la nuova configurazione in running-config (copy tftp running-config).
Bene, siamo giunti al termine di questo breve ma utile documento.
Gli Switch Ethernet sono per Cisco, ormai da tempo, la prima fonte di guadagno. E a buona ragione, i Catalyst sono davvero uno strumento eccezionale. In questo articolo volevo fare una breve analisi del protocollo VTP, disponibile sui Cisco Catalyst switches, descrivendone le features, funzionalità, configurazione e benefici.
VTP, che sta per Virtual Trunking Protocol, è in grado di mantenere, e aiutare a risolvere i problemi di, configurazioni VLAN di grandi dimensioni, rendendo più agevoli i compiti dell’amministratore, quando la LAN Virtuale diventa intricata ed estesa e più prona a errori umani. Gli switches Cisco utilizzano questo protocollo per scambiarsi informazioni di configurazione sulle VLAN in modo da mantenerne la consistenza tra i vari dispositivi della rete e garantire semplicità e automatizzazione dei cambi di configurazione, un po’ quello che fanno i protocolli dinamici di routing a layer 3 controllando e selezionando per voi le rotte, se mi permettete il paragone.
Cisco Security Agent ha il compito di proteggere varie tipologie di hosts da diversi tipi di attacco: da tipo Accesso a DoS, o anche solo di ricerca di vulnerabilità. Tramite il deployment di agenti installabili sui clients che si andranno a difendere, è possibile, con una gestione completamente centralizzata, tenere sotto controllo e proteggere un largo numero di Workstations e Servers, con regole personalizzabili, a seconda delle applicazioni e servizi in uso e in base a gruppi di appartenenza.
Anche su IOS, come su qualsiasi altro sistema operativo, abbiamo la possibilità di assegnare due indirizzi IP ad un’unica interfaccia di rete.
Mettiamo il caso, quindi, di avere la necessità di assegnare per esempio i due indirizzi IP 192.168.0.5 e 10.0.0.50 alla nostra interfaccia Ethernet 0/0.
© 2003-2025 AreaNetworking.it
Lagni Group Srl a socio unico
P.IVA: 04069250241 - REA: VI - 376486
Cap. soc. 30.000 € i.v.
Tutti i diritti sono riservati.
Contattaci: [email protected]
