Меню

Dionis nx настройка web интерфейса



Настраиваем QOS на Dionis NX

В данной статье рассматривается:

Не будем переписывать документацию, а просто на примере рассмотрим, как все это работает. Просьба прочитать «39. Механизмы качества обслуживания (QoS)» в документации, чтоб явственней понимать, что тут происходит. Непосредственно не занимаюсь администрированием данного оборудования, просто пришлось покопаться по случаю.

Для прочтения

Попробуем выделить интересующий нас трафик и ограничить его скорость. Так же попробуем проставлять свои метки TOS/DSCP и настроить реакцию на эти метки наш Dionis.

В нашей тестовой конфигурации будет присутствовать:

  • interface ethernet 0 – LAN интерфейс который смотрит в нашу локальную сеть
  • interface ethernet 1 – WAN внешний интерфейс куда смотрят наши каналы, интернет и т.д.

К примеру: у нас имеются IP камеры, на которые подключатся кому не лень и тем самым забиваю наш исходящий канал. Попробуем урезать скорость для данного устройства для всех кто сидит за пределами нашей локальной сети.

Настройки производятся в режиме конфигурирования.

Вот такой несложный конфиг урежет исходящею скорость до 512kbit. А теперь пройдемся по тому что мы сделали.

Командой ip class-map cm_Camera мы определили класс с именем cm_Camera. Классы нам нужны для того чтоб на основе правил класса мы могли пометить наш трафик как принадлежащий данному классу. Т.е. решили вы пойти на дискотеку, нарядились. Перед входом вас встречает охрана и проводит фейсконтроль – а подходите ли под данные им инструкции: так ли вы оделись, не пьяные ли вы или вообще со своими размерами влезете ли в дверь и т.д.

  • MATCH – вот как раз описывает эти правила для нашей охраны.
  • match src 10.0.0.16 – говорит, что пакеты с адресом источника 10.0.0.16 будут помечены как члены класса cm_Camera
  • match dst 10.0.0.16 – аналогично , только здесь проверяется адрес получателя. Т.е. в данном случае наша охрана, посмотрев тебя спереди и сзади ставит тебе на лбу метку – наш клиент с указанием под какой группированный список критериев ты подошел т.е. имя класса. При этом считаем, что каждое match это отдельное правило группирующееся по ИЛИ – минимум что-то одно должно соответствовать.

Критериев оценки наш не наш в match довольно много, я не буду их описывать

ip policy-map out_policy – создаем политику обслуживания с именем out_policy. Политика у нас будет одна, для многих классов т.к. на интерфейс можно повесить только одну политику. Данная политика говорит нашим охранникам как мы будем поступать с клиентами имеющие разные метки. Например, VIP гостей мы будем обслуживать в приоритетном порядке, у тек у кого карманы широкие — вторыми, наглых — третьими, все остальные идут общей очередью. И да, существует еще общая очередь, куда помещаются все, кто не прошел по фейсконтролю и для них не определено особое правило обращения.

class cm_Camera rate 512kbit – здесь мы описываем конкретное правило поведения для пакетов помеченных состоящими в этом классе. Т.е. говорим, что для класса cm_Camera скорость на отдачу не должна превышать 512kbit, но так же мы гарантируем, что при всей загруженности канала мы постараемся выделить полосу в 512kbit

interface ethernet 1 – переходим в режим конфигурирования ethernet 1 т.е. наш WAN, говорим, что для данного интерфейса мы будем руководствоваться правилами политики out_policy

  • Если что-то надо удалить, то необходимо перед командой ставить no сама_команда
    Пример: no ip policy-map out_policy — удалит нашу политику out_policy
    Удалять надо в обратной последовательности: интерфейс — политика- класс. Это не касается правил в самих политиках, классах
  • Удаление правил из class-map делается по его номеру no 1 . где 1 это индекс правила в class-map
  • Удаление правил из policy-map делается по имени класса no class cm_Camera
  • Изменить правило в class-map мы не можем, только удалить и создать новое
  • В policy-map изменить правило мы можем так class cm_Camera новые параметры старое правило замениться нашим новым набором.

Код с комментариями:

Все теперь охрана при работе, клиенты, что прошли фейсконтроль тоже, остальные не очень. )))

Давайте теперь выделим icmp пакеты, гарантируем им полосу, а еще и пометим. Icmp – это пакеты которые при любом удачном случае мы, да любое промежуточное оборудование будет обижать. Сейчас мы их сделаем почти самыми любимыми для нас и дадим наградную шапку, чтоб и другие знали кто к ним пришел.

Т.к. политика у нас уже привязана к интерфейсу, мы не делаем ее повторной привязки.

И так командой class icmp rate 100kbit ceil 1mbit priority 3 tos 0x80 – мы сказали следующее:

  • class icmp – для какого класса
  • rate 100kbit – какая гарантированная полоса будет выделена под пакеты отмеченные этим классом
  • ceil 1mbit – тут мы говорим, что при всем нашем уважении, но за пределы 1mbit не вылазь.
  • priority 3 – из 8 приоритетов 0-7 тебе достанется третий, чем меньше число тем ты выше, круче и тебя будут все любить. Если не указать данный параметр, то данный класс получит общий приоритет как у всех смертных т.е. 7.
  • tos 0x80 или dscp cs4 – здесь мы в пакете изменяем TOS значение т.е. когда наш гость покинет наш клуб, ему в качестве презента выдадут вип шапку, с помощью которой он может получить, а может и не получить бонусы по всему дальнейшему пути следования.

Теперь мы будет отлавливать шапочников, но уже с шапками, выданными кем-то другим.

Шапки у нас могут быть двух разновидностей TOS или DSCP – не углубляясь далеко, это почти одинаковые шапки, но скажем так, с китайскими и российскими размерами. Расшифровка DSCP и TOS значений

Ну так вот приходит к нам такой шапочник и что нам с ним делать. Мы можем обслужить его по договорённости с тем, кто выдал шапку, а можем и отобрать шапку и пустить его дальше голым или дать свою шапку, вариантов много.

К примеру, возьмем голосовой трафик IP телефония т.е. пришел к нам клиент с шапкой TOS 0xB8 или же DSCP ef. Т.к. это особая VIP шапка, то мы пожалую ее обслужим как полагается.

В данном случае, мы распознаем клиента только по его шапке и обслуживаем его с приоритетом. Но это может быть и мошенник, который запросто может погубить весь наш сервис.

Вот тут мы уже не смотрим на шапку, а смотрим ему в зубы т.е. делаем вывод на основе порта получателя и отправителя. Если нам надо указать диапазон портов , то пишем так match udp dport 5060 5070 с 5060 по 5070.

Еще раз хочу напомнить, эти правила в нашем случае будет действовать на трафик, идущий из LAN в WAN. Если трафик будет идти из WAN в LAN, то шапочник пойдет общей очередью с общим обслуживанием, и мы даже шапку не отберем.

Не допускайте чтоб один и тот же трафик метился разными классами:

В данном случае приходящий пакет icmp имеющий метку tos 0x00 будет отнесен либо к классу prt0, либо классу icmp. На выходе будет отрабатывать произвольная политика

Кратко о порядке действий:

  • 1. Первым делом мы классифицируем трафик с использованием class-map — даем некую внутреннюю метку
  • 2. Дальше в policy-map мы описываем, как мы будем поступать c меченым трафиком.
  • 3. В завершении мы привязываем policy-map к требуемому интерфейсу.

Источник

FAQ по криптомаршрутизатору DioNIS-LXM-Arlan

Каталог продукции
Скачать каталог

1. Как можно подключиться к коммутирующему модулю SM-12F (12-портовый коммутатор), который находится в DioNIS?

Ответ: можно подключиться через любой порт на заводских настройках (рекомендуется предварительно настроить с DioNIS «ip telnet server», «ip http server»). После этого будут доступен вход через протоколы Telnet/HTTP(s) на IP-адрес 192.168.0.225. По умолчанию с версии 2.3.20 доступен вход без предварительной настройки через SSH.

2. Где находятся 1 и 2 гигабитные порты? На задней панели (комбо-порты) вычислено, что это 3 и 4 гигабитные порты.

Ответ: Первый и второй гигабитные порты внутри соединены с маршрутизатором DioNIS. Они никак не доступны из вне. Настраивать эти порты не нужно (не рекомендуется)!

3. У нас имеется две основных задачи: 1) хотим создать vlan 1 для группы портов 1-6 и vlan 2 для группы портов 7-12. На vlan 1 задать ip-адрес из диапазона 10.250.x.x, на vlan 2 задать ip-адрес из диапазона 192.168.x.x. Затем при подключении в любой порт коммутатора, DHCP-сервер должен выдавать IP-адрес из соответствующего диапазона. 2) При подключении, скажем, двух ПК к портам из разных vlan, должен ходить ping, т.е. должна быть организована маршрутизация.

Ответ: на счёт первой задачи вполне реализуемо, но есть нюанс, что Ваш DHCP-сервер сможет выдавать IP-адреса из разных диапазонов конкретному vlan. Настраивается это так:
configure terminal
vlan 1
ip address dhcp
На счёт второй задачи, пока это нереализуемо (на 01.03.2013).

4. Как нам «достучаться» до 12-портового коммутатора (SM-12F) с маршрутизатора DioNIS?

Ответ: Вам необходимо создать frame 4 на DioNIS.

5. Есть ли в DioNIS LXM 20 встроенный почтовый сервер?

Ответ: На модуле коммутирующем модуле SM-12F нет, на криптомаршрутизаторе DioNIS есть полноценный сервер электронной почты (SMTP, POP3, IMAP4, LDAP).

6. Мы хотели бы скопировать конфигурацию с одного аппарата на другой. Можно ли это сделать через tftp?

Ответ: На данный момент это можно сделать таким образом: скопировать конфигурацию (с помощью команды show running-config). Затем вставить полученное, например, в файл 1.txt.
Взять другое устройство, скопировать содержимое файла 1.txt и вставить конфигурацию в консольное окно.

7. Подскажите как задать шлюз на SM-12F?

Ответ: команда ip default-gateway xxx.xxx.xxx.xxx, где xxx.xxx.xxx.xxx — IP-адрес шлюза.

8. Мы установили ПО на DioNIS версии NX и уставноили ПО на Арлан версии 2.3.19. Теперь мы не можем подключиться к Арлан ни по Telnet/HTTP(S)/SSH (хотя до обновления это было возможно) ни через ПО DioNIS (вырезано в функционале ПО NX, в LXM была возможность)

Ответ: В следующих версиях мы реализуем функцию генерацию SSH ключа при загрузке ПО Арлан. Т.е. Вы сможете зайти через SSH в любом случае. Сейчас же Вам нужно перепрошивать DioNIS с версии NX на LXM.

Источник

Базовая настройка Дионис NX

1 Базовая настройка Дионис NX Учебный курс 2014 Фактор-ТС

2 Учебный курс «Базовая настройка Дионис NX», версия 1.2. Автор: Евгений Творогов, Последнюю версию этого курса, а также дополнительную информацию по обучению можно найти по адресу: ООО «Фактор-ТС», Россия, , г. Москва, 1-й Магистральный проезд, д. 11, стр (495) , 2

3 Оглавление Введение. 6 Список терминов и определений, принятых в курсе. 6 Список основных функций Дионис NX. 6 Описание учебного курса. 7 Учебный план. 8 Виртуальный стенд. 9 Часть 1. Интерфейс командной строки Вход в систему Режимы работы командной строки Горячие клавиши Часто используемые команды: show, do и write Лабораторная работа 1. Интерфейс командной строки Вход в систему Знакомство с интерфейсом командной строки Дионис NX Переключение в режим администратора и смена паролей Переключение в режим конфигурирования Контрольные вопросы по первой части Часть 2. Маршрутизатор Интерфейсы ethernet Привязка к сетевым картам Включение и диагностика Таблица маршрутизации Создание статических маршрутов Утилиты диагностики канального и сетевого уровня Arping Ping Traceroute Лабораторная работа 2. Маршрутизатор Настройка внутреннего интерфейса Настройка внешнего интерфейса Диагностика интерфейсов Создание маршрута по умолчанию Настройка маршрутизатора Диониса NX Контрольные вопросы по второй части

4 Часть 3. Межсетевой экран Защита удаленного управления по протоколу SSH Фильтрация по спискам доступа Трансляция по NAT-спискам SNAT DNAT Masquerade Netmap Redirect Exclude Лабораторная работа 3. Межсетевой экран Защита удаленного доступа по SSH Создание списка доступа Настройка NAT masquerade Настройка DNAT Контрольные вопросы по третьей части Часть 4. Обслуживание Идентификатор платформы Файловая система Передача файлов по SSH и FTP Планировщик Установленные версии ОС Слоты с данными Обновление ОС Резервное копирование Экспорт ОС в файл DIP Архив слота данных в файл DBU Копирование конфигурационных файлов Восстановление из резервной копии Восстановление версии ОС и слота данных Восстановления только слота данных Восстановление конфигурационного файла Лабораторная работа 4. Обслуживание Просмотр установленных ОС и существующих слотов данных Создание резервных копий Обновление версии Восстановление из резервной копии Контрольные вопросы по четвертой части

5 Часть 5. Криптозащита Инициализация криптосистемы Туннели Disec Лабораторная работа 5. Криптозащита Инициализация криптосистемы Создание туннеля Disec Контрольные вопросы по пятой части Часть 6. Отладка Трассировка по спискам трассировки Трассировка по спискам доступа Просмотр журнала с трассировкой Tcpdump Лабораторная работа 6. Отладка Использование списка трассировки Использование трассировки правила списка доступа Использование утилиты tcpdump Контрольные вопросы по шестой части Приложение 1. Список аббревиатур Английские Русские Приложение 2. Настройка PuTTY для Windows Выбор кодировки символов Сохранение настроек подключения Первое подключение к Дионису Передача файлов по SSH Приложение 3. Ответы на контрольные вопросы

6 Введение Список терминов и определений, принятых в курсе Дионис NX принятое в учебном курсе название 64-х разрядной операционной системы (ОС) на ядре Linux 3.0, содержащей сертифицированное ФСБ России по классам КС1 и КС3 средство криптографической защиты информации (СКЗИ) «Dionis-NX». Дионис, сервер Дионис, хост Дионис, узел Дионис сервер с установленной ОС Дионис NX. Конфигурация содержимое конфигурационного файла. Кнопка элемент оконного интерфейса ОС Windows. Клавиша кнопка на клавиатуре. Наберите следует набрать на клавиатуре указанный текст. Введите следует набрать на клавиатуре указанный текст и нажать клавишу Enter. Нажмите клавиши F1, F2 последовательно нажать на F1 затем на F2. Нажмите клавиши Ctrl+C одновременно нажать Ctrl и C. Курсивом выделены названия элементов меню, кнопки, клавиши и команды. Аббревиатуры, использованные в тексте раскрыты в приложении 1. Список основных функций Дионис NX Маршрутизатор. Статическая и динамическая маршрутизация (RIP, OSPF и BGP). Карты маршрутов (route-map) и политики маршрутов (policy-route). Туннельные интерфейсы (GRE, L2TP, PPTP). Агрегация интерфейсов (bonding). Сабинтерфейсы (VLAN). Качество обслуживания (QoS) c резервированием полосы и маркировкой трафика. Маршрутизация мультикаст (IGMP и DVMRP). Межсетевой экран. Списки доступа, NAT, прокси-сервер HTTP и FTP. Сервер доменных имен (DNS) и сервер динамической конфигурации узла (DHCP). 6

7 СКЗИ. Статические и динамические туннели между узлами Дионис с шифрованием и имитозащитой, протоколы «IP в IP» и «IP в UDP», IPSEC ГОСТ (IKEv1, ESP). Симметричная и несимметричная ключевые схемы. Средства удаленного управления и мониторинга. Служба SSH. Сервер удаленного мониторинга SNMP. Сбор статистики Netflow. Журналы и отладка. Протокол срабатывания фильтров. Протокол прохождения пакета через маршрутизатор. Протоколы системных событий. Tcpdump. Обновление и резервное копирование по SSH и FTP. Кластер с холодным резервом. Активный/пассивный. Описание учебного курса Курс рассчитан на системных администраторов, которые хотят познакомиться с Дионис NX. Предполагается, что в обязанности администраторов будет входить предварительная, базовая настройка маршрутизатора, межсетевого экрана и СКЗИ для обеспечения удаленного управления хостами Дионис. Начальные требования, предъявляемые к слушателям данного курса, это умение набирать команды в командной строке, понимание разницы между TCP-портами, IPадресами и MAC-адресами, знакомство со статической IP-маршрутизацией, NAT и VPN. Полезен опыт настройки сетевого оборудования Cisco или аналогичного, настраиваемого при помощи командной строки. После прохождения курса администратор будет уметь: настраивать интерфейсы ethernet, создавать статические маршруты, использовать NAT, фильтровать трафик списками доступа, удаленно управлять хостами Дионис по протоколу SSH, организовывать VPN, создавая туннели между хостами Дионис, инициализировать СКЗИ для шифрования трафика в туннелях, обновлять версию Дионис NX, создавать резервные копии конфигурационных файлов и данных, запускать отладку и контролировать прохождение пакетов через хост Дионис. 7

8 Учебный план Материал разбит на шесть частей и дается последовательно. В конце каждой части идет лабораторная работа по пройденному материалу. Перескакивать между частями не следует, так как лабораторные работы связаны друг с другом, их нужно выполнять последовательно с сохранением настроек. После каждой лабораторной работы есть вопросы для самоконтроля по пройденному материалу. Правильные ответы на вопросы можно посмотреть в приложении 3. Часть 1 «Интерфейс командной строки» знакомит с подключением и входом в Дионис NX, «горячими» клавишами, различными режимами командной строки и часто используемыми командами. Часть 2 «Маршрутизатор» описывает настройку IP-маршрутизатора для работы с интерфейсами ethernet, создание статических маршрутов и работу диагностических утилит: arping, ping и traceroute. Часть 3 «Межсетевой экран» рассматривает защиту удаленного подключения по протоколу SSH к Дионис NX, фильтрацию и трансляцию IP-датаграмм, обрабатываемых IP-маршрутизатором Дионис NX. Часть 4 «Обслуживание» раскрывает работу с файлами в Дионис NX, создание и восстановление резервных копий, установку обновлений. Часть 5 «Криптозащита» учит, как инициализировать криптосистему, загружать ключи шифрования и использовать их в статических туннелях. Часть 6 «Отладка» включает в себя контроль прохождения пакетов по маршрутизатору Дионис NX. 8

9 Виртуальный стенд.101 Рабочая станция WS-1 Внутренняя сеть 10.X.1.0/24 eth1.1 eth0.11 Дионис NX-1 eth2.2 Внешняя сеть X.0/25.1 Шлюз провайдера GW Рабочая станция WS-2 Внутренняя сеть 10.X.2.0/24 eth1.1 Сеть управления 10.0.X.0/24 eth0.12 Дионис NX-2 eth Шлюз доступа edu2.factor-ts.ru Внешняя сеть X.128/25 Интернет.129 Шлюз провайдера GW-2 Рабочее место учащегося Лабораторные работы выполняются на виртуальных учебных местах, которые включают в себя: две учебные виртуальные машины Дионис NX-1 и NX-2; хосты WS-1 и WS-2, имитирующие рабочие станции; хосты GW-1 и GW-2, имитирующие шлюзы провайдеров. Учащийся, со своего рабочего места, подключается по протоколу SSH к портам шлюза edu2.factor-ts.ru, через которые получает доступ к виртуальным машинам Дионис NX-1 и NX-2. Номера портов и IP-адрес шлюза сообщает преподаватель. Хосты WS-1, WS-2, GW-1 и GW-2 предварительно настроены и не доступны для управления. Внимание! На каждом Дионисе, предварительно настроен интерфейс eth0, предназначенный для удаленного управления. Не следует менять его настройки, так как возможна потеря удаленного доступа, восстановить который, из-за специфики виртуального стенда, зачастую возможно, только удалив конфигурацию. Для каждого учащегося предусмотрено индивидуальное учебное место, которое имеет IP-адреса, определяющиеся по номеру места, для исключения пересечений адресации с другими местами. Например, для места номер 77: сеть управления /24; внутренние сети /24 и /24; внешние сети /25 и /25. 9

10 Часть 1. Интерфейс командной строки Вход в систему Получить доступ в систему можно локально, подключив монитор и клавиатуру к серверу Дионис, или удаленно по протоколу SSH. На новых серверах с завода, всегда есть один настроенный интерфейс eth0 c IP-адресом , к которому можно подключиться по SSH с IP-адресов из сети /24. Для входа в систему нужно ввести имя пользователя и пароль. В Дионис NX существуют два пользователя: оператор cli и администратор adm. Пароли пользователей, на новых серверах с завода, по умолчанию совпадают с их именами. Система будет предлагать сменить пароли по умолчанию при каждом входе администратора, пока вы этого не сделаете. Режимы работы командной строки Войдя в систему, вы увидите приглашение командной строки, которое содержит имя хоста и различные служебные символы, означающие режим работы системы. login as: cli password: DionisNX> DionisNX> enable Password: DionisNX# DionisNX# configure terminal DionisNX(config)# DionisNX(config)# interface ethernet 1 DionisNX(config-if-ethernet1)# DionisNX

# DionisNX! Вход в систему в режиме оператора (пользователь cli) Переход режим администратора (пользователь adm) Переход в режим конфигурирования Переход в ежим конфигурирования подсистемы (например, интерфейса) Требуется перезагрузка Внимание, посмотрите журнал alert.log 10

11 В режим оператора система переходит при входе пользователя cli. В этом режиме можно просматривать конфигурацию и получать сведения о системе, но нельзя ничего изменить. В режим администратора можно попасть, войдя под пользователем adm. Режим обеспечивает доступ к настройкам системы. Для изменения конфигурации нужно в режиме администратора ввести команду configure terminal, после которой система переходит в режим конфигурирования. Настройка подсистем (интерфейсов, служб, туннелей) осуществляется в режиме конфигурирования конкретной подсистемы, попасть в который можно по команде перехода в подсистему. Обычно, настройки применяются сразу после ввода команды, но, иногда, требуется перезапуск подсистемы. В таком случае в строке приглашения появляется тильда. Восклицательный знак появляется в строке приглашения, когда сработали настроенные уведомления типа alert либо произошел критический сбой. Тогда требуется выполнить команду show log alert, которая покажет журнал с уведомлениями или причинами сбоя. После просмотра журнала восклицательный знак пропадает. Горячие клавиши Для простоты пользования командной строкой существуют специальные клавиши. Список горячих клавиш в момент ввода команды? Справка по командам текущей подсистемы Tab Пробел Стрелки Верх и Вниз Shift+Page Up и Shift+Page Down Ctrl+Z Ctrl+Пробел Варианты выбора, автодополнение команды Автодополнение команды Пролистывание истории команд Пролистывание экранов Выход из режимов конфигурирования (exit) Показ конфигурации текущей подсистемы (show) 11

12 Клавишу знак вопроса можно нажать в любой момент и получить подсказку по возможным в данном режиме командам и параметрам. Клавиша табуляции выводит возможные варианты команд либо параметров (без описания), а если вариант единственный, то подставляет его в командную строку. Удобно набирать только начало команд и затем нажимать Tab, экономя время. Например, можно полностью набирать на клавиатуре configure terminal, а можно набрать con и нажать Tab или Пробел. ОС ведет историю, введенных ранее команд, ее можно пролистать стрелками. Удобно, если нужно выполнить несколько похожих длинных команд, листать введенные ранее команды, редактировать их и снова вводить. Посмотреть вывод результатов ранее выполненных команд можно клавишами Shift+Page Up и Shift+Page Down. Для выхода из режима конфигурирования применяется команда exit, вместо нее можно использовать сочетание клавиш Ctrl+Z. Ctrl+Пробел заменяет часто используемую команду show, которая рассмотрена ниже. Список горячих клавиш в момент вывода результатов выполнения команды Пробел, Page Up и Page Down, Shift+Page Up и Shift+Page Down Стрелки Верх и Вниз Пролистывание страниц с результатами Пролистывание строк с результатами / Поиск по результатам Q Ctrl+C Выход из просмотра результатов Прерывание выполняющейся команды Если вывод результатов выполнения команды занимает больше одного экрана, по он происходит постранично при помощи клавиш Пробел, Page Up и Page Down, Shift+Page Up и Shift+Page Down либо построчно стрелками Верх и Вниз. Пока происходит вывод результатов команды и нет приглашения командной строки, можно осуществлять поиск определенных символов при помощи клавиши слеш (/). Существуют команды, которые непрерывно выводят результаты в режиме реального времени, в таком случае прервать вывод можно сочетанием клавиш Ctrl+C. 12

13 Часто используемые команды: show, do и write Команда show выводит информацию по любой подсистеме, настройке или оборудованию. Как правило, синтаксис параметров команды show повторяет команду, задающую настройку. Например, маршрут задает команда ip route, а выводит маршрутную таблицу команда show ip route. Команда do позволяет выполнять административные команды в режиме конфигурирования. Если бы её не было, то, например, для выполнения команды show, нужно было бы выходить из режима конфигурирования (как в Cisco IOS), а так можно выполнить команду (config)# do show. Команда do show без параметров выводит конфигурацию той подсистемы, которую администратор настраивает в данный момент. Для команды show или do show без параметров существует комбинация клавиш Ctrl+Пробел. Команда write сохраняет конфигурацию. Настраиваемая и выполняемая в данный момент конфигурация ОС хранится в файле running-config. Команды после ввода немедленно выполняются и попадают в running-config, который существует только в момент работы сервера. После перезагрузки, этот файл заменяется файлом startup-config. Для того чтобы настроенная конфигурация сохранялась, требуется после каждого изменения копировать содержимое running-config в startup-config при помощи команды write. 13

14 Лабораторная работа 1. Интерфейс командной строки Цели лабораторной работы: выполнить удаленное подключение к хосту Дионис NX по протоколу SSH; ознакомиться с интерфейсом командной строки Дионис NX; освоить переключение между различными режимами командной строки. Список используемых команд > enable Переход в режим администратора # configure terminal Переход в режим конфигурирования # show Показ настроек (config)# do (config)# hostname NX-1 Выполнение административных команд из режима конфигурирования Изменение имени хоста # write Сохранение конфигурации 1. Вход в систему 1.1. Подключитесь к хосту NX-1 по SSH. Подключение при помощи SSH-клиента PuTTY для ОС Windows описано в приложении На приглашение входа в систему введите имя оператора cli. Появится запрос пароля. login as: cli 1.3. На запрос пароля введите cli (при вводе пароль не отображается). После правильного ввода, вы попадете в интерфейс командной строки в режиме оператора. password: DionisNX> 14

15 2. Знакомство с интерфейсом командной строки Дионис NX 2.1. Нажмите клавишу? (знак вопроса не отображается в командной строке). Появится список команд, которые можно ввести в текущем режиме, с кратким описанием каждой команды. DionisNX> arping Send ARP request cat Display the contents of a file clear Reset functions copy Copy from one file to another echo Print message on screen enable Turn on privileged commands exit Exit from the CLI help Help about command line interface less Display the contents of a file ls List files on a filesystem mkdir Create directory ping Send echo messages rm Delete file show Show system information ssh SSH client telnet Telnet client traceroute Trace route to destination whois Get whois information 2.2. Нажмите клавишу Tab (знак табуляции не отображается в командной строке). Появится список команд, которые можно ввести в текущем режиме, но без описания, в отличие от ранее показанного списка. DionisNX> arping cat clear copy echo enable exit help less ls mkdir ping rm show ssh telnet traceroute whois 2.3. Наберите s и нажмите клавишу Tab. Появится список команд, начинающихся на букву s. Как видно из ранее показанных списков, на букву s начинаются две команды show и ssh. DionisNX> s show ssh 2.4. Не удаляя s, наберите h и нажмите клавишу Tab. Если бы команд, начинающихся на sh было бы несколько, то был бы показан список, но так как команда одна, то она сразу появится в командной строке. DionisNX> show 15

16 2.5. Нажмите Tab еще раз, чтобы появился список параметров команды show и нажмите клавишу знак вопроса, чтобы увидеть описание параметров. DionisNX> show bridge clock cpu default-config diag disk interface ip mem running-config ssh startup-config uptime version DionisNX> show bridge Bridge status and configuration clock Show time cpu Show CPU information default-config Contents of default configuration diag Show diagnostics disk Show disk usage information interface IP interface status and configuration ip IP information mem Show memory usage information running-config Current operating configuration ssh Show ssh settings startup-config Contents of startup configuration uptime Show system uptime information version Show software version 2.6. Последовательно введите команды show clock и show version. Затем нажмите несколько раз на клавиатуре стрелку Вверх, обратите внимание, в командной строке будут появляться ранее введенные команды. Затем нажмите стрелку Вниз, тем самым пролистывая список ранее веденных команд в обратном направлении Нажмите на клавиатуре клавишу Shift и не отпуская нажимайте клавишу Page Up, обратите внимание, что происходит пролистывание экранов с результатами выполнения ранее введенных команд. Нажимайте клавишу Page Down, для того чтобы пролистать экраны в обратном направлении Введите команду show running-config. Вывод результатов команды занимает более одного экрана, поэтому он показывается постранично. Нажмите клавишу Пробел, чтоб вывести следующую страницу. Нажмите клавиши со стрелками Вверх и Вниз, чтоб листать результаты построчно вверх и вниз. Нажмите клавиши Page Up и Page Down, чтоб листать результаты постранично вверх и вниз. Нажмите клавишу / (слеш) введите ip, обратите внимание, что найденное сочетание ip стало подсвечиваться во всех строках вывода. Пролистайте результаты. Нажмите клавишу Q, чтоб выйти из показа результатов и вернуться в командную строку. 16

17 3. Переключение в режим администратора и смена паролей 3.1. Введите команду enable для перехода в режим администратора. На запрос пароля, введите adm. Так как заводские пароли общеизвестны, то появится предупреждение и предложение сменить пароли для пользователей cli и adm. Если не заменить заводские пароли, предупреждение будет появляться при каждом входе администратора. Изменить пароль можно не только при входе, но и позднее командой passwd adm для администратора и passwd cli для оператора. Измените пароли cli и adm на dionisnx. На запрос нового пароля введите dionisnx два раза. DionisNX> enable Password: Warning: The cli user password has default value. Changing password for cli Enter the new password (minimum of 8 characters) Please use a combination of upper and lower case letters and numbers. New password: Re-enter new password: passwd: password changed. Warning: The adm user password has default value. Changing password for adm Enter the new password (minimum of 8 characters) Please use a combination of upper and lower case letters and numbers. New password: Re-enter new password: passwd: password changed. DionisNX# 3.2. Посмотрите, как изменился список доступных команд в режиме администратора. При помощи клавиш знак вопроса и табуляции, как ранее для режима оператора. 17

18 4. Переключение в режим конфигурирования 4.1. В режиме администратора введите команду configure terminal для перехода в режим конфигурирования. Приглашение изменит свой вид. DionisNX# configure terminal DionisNX(config)# 4.2. Посмотрите, как изменился список доступных команд в режиме конфигурирования. Нажмите Tab для показа списка команд. DionisNX(config)# cluster controller crypto do end exit help hostname interface ip net no os router service session timezone 4.3. Вызовите список команд административного режима, для этого наберите do и нажмите Tab. Сравните появившийся список с выведенными ранее. DionisNX(config)# do arping boot cat clear clock cluster configure copy crypto disable echo integrity interface iperf less ls mkdir netperf no nslookup os passwd passwd-expiry ping poweroff reboot rm schedule service show ssh sysmon tcpdump telnet top traceroute watchdog whois write 4.4. Сравните работу команд в разных режимах. Выполните команды do show clock и show clock. Используйте Ctrl+Z для выхода из режима конфигурирования. DionisNX(config)# do show clock DionisNX(config)# exit DionisNX# DionisNX# show clock 4.5. Измените имя хоста на NX-1. Обратите внимание, как изменилось приглашение командной строки. DionisNX(config)# hostname NX-1 NX-1(config)# 4.6. Сохраните конфигурацию. NX-1(config)# do write Info: copying ‘running-config’ to ‘startup-config’. 18

19 Контрольные вопросы по первой части 1. Какие существуют варианты подключения к хосту Дионис NX (выберите два)? a) Удаленно по протоколу SSH. b) Удаленно по протоколу RDP. c) Локально при помощи клавиатуры и монитора. d) Локально при помощи терминального кабеля. 2. Как посмотреть описание команды (выберите два)? a) При помощи клавиши F1. b) В документации к Дионис NX. c) При помощи клавиши знак вопроса. d) При помощи клавиши табуляции. 3. Как войти в режим администратора? a) Подключиться удаленно по протоколу SSH. b) Подключиться локально при помощи специального кабеля. c) Выполнить команду enable. d) Выполнить команду adm. 4. Как войти в режим конфигурирования? a) Выполнить команду enable. b) Выполнить команду configure terminal. c) При помощи клавиши табуляции. d) При помощи клавиши знак вопроса. 5. Как выйти из режима конфигурирования (выберите два)? a) Выполнить команду disable. b) Выполнить команду exit. c) При помощи клавиш Ctrl+C. d) При помощи клавиш Ctrl+Z. 19

20 Часть 2. Маршрутизатор Интерфейсы ethernet Маршрутизатор Дионис NX работает с интерфейсами различных типов. В этом базовом учебном курсе рассмотрена настройка интерфейсов типа ethernet. Привязка к сетевым картам Интерфейсы ethernet создаются автоматически их количество совпадает с количеством сетевых адаптеров ethernet. Интерфейсы имеют номера, начинающиеся с нуля. Привязка номера интерфейса к MAC-адресу сетевой карты выполняется автоматически. Посмотреть привязку можно командой: DionisNX# show interface bindings ethernet0 08:00:27:28:e6:bd ethernet1 08:00:27:6c:c9:d6 ethernet2 08:00:27:cc:43:24 ethernet3 08:00:27:4b:6c:24 Можно изменить эту привязку в диалоговом режиме командой interface enumerate. DionisNX# interface enumerate ethernet Set the MAC address and interface number correspondence. The interface led will blink to identify the physical port. The possible interface numbers are 0, 1, 2, 3. Enter the interface number for MAC 08:00:27:28:e6:bd : Либо вручную командой interface bind. DionisNX# interface bind ethernet 0 aa:bb:cc:dd:ee:ff MAC address Существует полезная команда interface blink, которая включает мигание лампочки на сетевом адаптере, привязанном к интерфейсу, что помогает не ошибиться с подключением сетевого кабеля. DionisNX# interface blink ethernet 0 indefinite Внимание! В учебном классе оборудование виртуальное, так что мигать лампочками не получиться. Также, не стоит менять привязку интерфейсов, так как это приведет к потере удаленного управления. 20

21 Включение и диагностика Для настройки интерфейса ethernet нужно в режиме конфигурирования перейти в режим конфигурирования конкретного интерфейса, по команде interface ethernet, указав номер интерфейса. Задать IP-адрес и маску сети командой ip address и включить интерфейс командой enable, иначе он не активен. Невключенные интерфейсы не работают и их сети не попадают в таблицу маршрутизации. (config)# interface ethernet 0 (config-if-ethernet0)# (config-if-ethernet0)# ip address /24 (config-if-ethernet0)# enable Переход в режим конфигурирования интерфейса Задание IP-адреса и маски сети Включение интерфейса Посмотреть состояние интерфейса можно командой: DionisNX(config-if-ethernet0)# do show interface ethernet 0 ethernet0:
mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 08:00:27:28:e6:bd brd ff:ff:ff:ff:ff:ff inet /24 brd scope global ethernet0 В угловых скобках показаны флаги интерфейса, которые могут принимать следующие значения. UP интерфейс включен командой enable. LOWER_UP сетевой адаптер подключен к сети. NO-CARRIER сетевой адаптер не подключен к сети. LOOPBACK интерфейс петля, все пакеты, отправленные в него возвращаются отправителю. BROADCAST интерфейс может рассылать широковещательные пакеты, т.е. сетевой адаптер подключен к широковещательной сети. POINTOPOINT интерфейс точка-точка. MULTICAST интерфейс способен осуществлять многоадресную рассылку. NOARP интерфейсу не требуется протокол ARP для правильной работы, разрешение адреса канального уровня выполняет ПО. Значения параметра mtu Алгоритм очередей пакетов qdisc может принимать различные значения: pfifo_fast алгоритм FIFO, noqueue очередь не используется, noop пакеты отбрасываются. Размер очереди параметр qlen 1000 (пакетов). 21

22 Важный параметр вывода состояние интерфейса state может быть: UP интерфейс активен (поднят) и работает, DOWN не активен, UNKNOWN не известно. Дополнительный параметр link/ether обозначает MAC-адрес сетевого адаптера 08:00:27:28:e6:bd и broadcast MAC-адрес brd ff:ff:ff:ff:ff:ff. Дополнительный параметр inet обозначает IP-адрес интерфейса /24 и broadcast IP-адрес сети brd Параметр scope область действия адреса, в данном случае global ethernet0, что означает везде для интерфейса ethernet0. Может также иметь значение host только для этого хоста, например, на интерфейсе loopback. В подсказке к команде просмотра интерфейса можно увидеть дополнительные возможности по диагностике состояния сетевого адаптера, драйвера и интерфейса. DionisNX(config-if-ethernet0)# do show interface ethernet 0 stat Show statistics link Show link settings device Show device information ring Show device ring buffer information flow Show flow cache config Show setup from running-config stat статистика пакетов на интерфейсе, здесь можно увидеть количество ошибок на прием и на передачу. link состояние соединения, в частности, скорость и дуплекс. device название контроллера ethernet, версия драйвера и прошивки. ring размеры буферов приема и передачи. flow кэш статистики netflow. config конфигурация интерфейса, аналог команды (config-if-ethernet0)# do show. 22

23 Таблица маршрутизации Таблица маршрутизации содержит различные типы маршрутов. Текущую таблицу маршрутизации можно посмотреть командой: DionisNX(config)# do show ip route Codes: K — kernel route, C — connected, S — static, R — RIP, O — OSPF, I — IS-IS, B — BGP, A — Babel, > — selected route, * — FIB route C>* /24 is directly connected, ethernet0 C>* /8 is directly connected, lo В подсказке Codes: перечислены коды типов маршрутов: kernel маршруты из ядра ОС. connected подключенные маршруты. Создаются автоматически для интерфейсов, имеющих IP-адрес и маску сети. При выполнении команды enable сеть интерфейса добавляется в таблицу маршрутизации и обозначается, как подключенная напрямую directly connected. static статические маршруты. Создаются вручную администратором. RIP, OSPF, BGP маршруты созданные, протоколами динамической маршрутизации. IS-IS и Babel не используются. Если в сеть существует более одного маршрута, то используется тот, который отмечен угловой скобкой (знак больше). Маршруты IP-маршрутизатора хранятся в двух базах RIB (Routing Information Base) и FIB (Forwarding Information Base). RIB содержит все созданные маршруты, FIB только маршруты, используемые в настоящий момент, они отмечены звездочкой (*). Создание статических маршрутов Маршруты, которые администратор создает вручную командой ip route называются статическими. В качестве параметров задаются сеть с маской и шлюз. Например, маршрут в сеть /16 через шлюз создается командой: DionisNX(config)# ip route /

24 При типовом подключении внутренней сети к интернету через провайдера требуется создать статический маршрут по умолчанию на шлюз провайдера (default-маршрут). В этом случае можно использовать параметр default вместо указания сети. Например, так: DionisNX(config)# ip route default Статические маршруты идут в таблице маршрутизации под буквой S. Маршруты по умолчанию имеют нули в поле адрес сети. DionisNX(config)# do show ip route. S>* /0 [1/0] via , ethernet1 Утилиты диагностики канального и сетевого уровня Arping Команда arping имитирует работу протокола ARP. DionisNX# arping ARPING to from via ethernet0 Unicast reply from [8:0:27:0:c:c8] 0.213ms. Sent 5 probe(s) (1 broadcast(s)) Received 5 reply (0 request(s), 0 broadcast(s)) Вывод команды позволяет определить, какой MAC-адрес отвечает на ARP-запросы. Полезно при дублировании IP-адресов в сети. Посмотреть ARP-таблицу можно командой: DionisNX# show ip arp Если таблицу требуется очистить, сделать это можно командой: DionisNX# clear ip arp 24

25 Ping Команда ping проверяет доступность хоста на сетевом уровне. Возможно явно указать IPадрес отправителя, например, для имитации отправки пакетов от другого хоста или интерфейса. DionisNX# ping source PING ( ) from : 56 data bytes 64 bytes from : seq=0 ttl=128 time=0.500 ms ping statistics packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0.323/0.451/0.693 ms Команда посылает пять пингов по умолчанию, но можно настроить бесконечный пинг: DionisNX# ping indefinite Перервать его, в таком случае, можно клавишам Ctrl+C. Для отладки полезно задавать точное число пингов, например, один: DionisNX# ping repeat 1 Traceroute Команда traceroute выводит список маршрутизаторов на пути пакета. DionisNX# traceroute google.com traceroute to google.com ( ), 30 hops max, 46 byte packets ( ) ms ms ms ( ) ms ms ms 3 msk-ix-gw1.google.com ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms Вывод команды показывает задержки на каждом маршрутизаторе. 25

26 Лабораторная работа 2. Маршрутизатор Цели лабораторной работы: настройка внутреннего и внешнего интерфейсов, создание статического маршрута по умолчанию. Схема стенда.101 Рабочая станция WS-1 Внутренняя сеть 10.X.1.0/24 eth1.1 Дионис NX-1 eth2.2 Внешняя сеть X.0/25.1 Шлюз провайдера GW-1 Интернет.102 Рабочая станция WS-2 Внутренняя сеть 10.X.2.0/24 eth1.1 Дионис NX-2 eth2.130 Внешняя сеть X.128/ Шлюз провайдера GW-2 Внимание! Далее примеры команд приведены для места номер 77. Не забывайте использовать IP-адреса для своего места. Здесь и далее интерфейсы сети управления на схемах не показаны. Список используемых команд (config)# interface ethernet 1 (config-if-ethernet1)# ip address /24 (config-if-ethernet1)# enable (config)# do ping (config)# do show interface config (config)# do show interface (config)# ip route default (config)# do show ip route Переход в режим конфигурирования интерфейса Задание IP-адреса и маски сети Включение интерфейса Запуск пинга Просмотр конфигурации интерфейсов Просмотр состояния интерфейсов Создание статического маршрута Просмотр таблицы маршрутизации 26

27 1. Настройка внутреннего интерфейса 1.1. Войдите в режим конфигурирования интерфейса eth1. NX-1(config)# interface ethernet 1 NX-1(config-if-ethernet1)# 1.2. Посмотрите, какие команды выполнены и сохранены в конфигурации для данного интерфейса. Пустой вывод будет означать, что для данного интерфейса пока нет конфигурации. NX-1(config-if-ethernet1)# do show NX-1(config-if-ethernet1)# 1.3. Задайте IP-адрес, маску сети и включите интерфейс. NX-1(config-if-ethernet1)# ip address /24 NX-1(config-if-ethernet1)# enable 1.4. Убедитесь, что команды, введенные выше, появились в конфигурации. NX-1(config-if-ethernet1)# do show enable ip address / Проверьте работу интерфейса, выполнив пинг рабочей станции WS-1 ( ). NX-1(config-if-ethernet1)# do ping PING ( ): 56 data bytes 64 bytes from : seq=0 ttl=64 time= ms ping statistics packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 4.429/6.111/ ms 2. Настройка внешнего интерфейса 2.1. Создайте конфигурацию интерфейса eth2. NX-1(config)# interface ethernet 2 NX-1(config-if-ethernet2)# ip address /25 NX-1(config-if-ethernet2)# enable 27

28 2.2. Проверьте работу интерфейса, выполнив пинг шлюза провайдера GW-1 ( ). NX-1(config-if-ethernet2)# do ping PING ( ): 56 data bytes 64 bytes from : seq=0 ttl=64 time= ms ping statistics packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0.670/3.154/ ms 3. Диагностика интерфейсов 3.1. Посмотрите конфигурацию интерфейсов. Проверьте правильность задания IPадресов и масок сетей. NX-1(config)# do show interface config! interface ethernet 0 enable ip address /24! interface ethernet 1 enable ip address /24! interface ethernet 2 enable ip address / Посмотрите состояние интерфейсов. Убедитесь в том, что состояние state UP для всех интерфейсов ethernet. 28 NX-1(config)# do show interface ethernet0:
mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:be:8b:5f brd ff:ff:ff:ff:ff:ff inet /24 brd scope global ethernet0 ethernet1:
mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:be:8b:69 brd ff:ff:ff:ff:ff:ff inet /24 brd scope global ethernet1 ethernet2:
mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:be:8b:73 brd ff:ff:ff:ff:ff:ff inet /25 brd scope global ethernet2.

29 4. Создание маршрута по умолчанию 4.1. Посмотрите существующие в системе маршруты. Для удаленного управления в системе создан статический маршрут в сеть /16 через шлюз NX-1(config)# do show ip route Codes: K — kernel route, C — connected, S — static, R — RIP, O — OSPF, I — IS-IS, B — BGP, A — Babel, > — selected route, * — FIB route C>* /24 is directly connected, ethernet0 C>* /24 is directly connected, ethernet1 C>* /8 is directly connected, lo C>* /25 is directly connected, ethernet2 S>* /16 [1/0] via , ethernet Добавьте статический маршрут по умолчанию на шлюз провайдера GW-1 ( ). NX-1(config)# ip route default Посмотрите, как изменился список существующих маршрутов. Обратите внимание на появление нового статического маршрута. NX-1(config)# do show ip route Codes: K — kernel route, C — connected, S — static, R — RIP, O — OSPF, I — IS-IS, B — BGP, A — Babel, > — selected route, * — FIB route S>* /0 [1/0] via , ethernet2 C>* /24 is directly connected, ethernet0 C>* /24 is directly connected, ethernet1 C>* /8 is directly connected, lo C>* /25 is directly connected, ethernet2 S>* /16 [1/0] via , ethernet Сохраните конфигурацию. 29

30 5. Настройка маршрутизатора Диониса NX Подключитесь к Дионису NX-2. Войдите в административный режим и измените пароли оператора и администратора на dionisnx Измените имя хоста с DionisNX на NX-2. DionisNX(config)# hostname NX Включите внутренний интерфейс eth1, задайте IP-адрес и маску сети. NX-2(config-if-ethernet1)# ip address /24 NX-2(config-if-ethernet1)# enable 5.4. Включите внешний интерфейс eth2, задайте IP-адрес и маску сети. NX-2(config-if-ethernet2)# ip address /25 NX-2(config-if-ethernet2)# enable 5.5. Убедитесь в работе интерфейсов, выполнив пинг хоста WS-2 ( ) и пинг шлюза провайдера GW-2 ( ). NX-2(config)# do ping NX-2(config)# do ping Настройте маршрут по умолчанию на шлюз провайдера GW-2 ( ). NX-2(config)# ip route default Проверьте доступность хоста NX-1, выполнив пинг его внешнего интерфейса ( ). NX-2(config)# do ping Сохраните конфигурацию. 30

31 Контрольные вопросы по второй части 1. В каком режиме выполняется настройка интерфейса? a) DionisNX> b) DionisNX# c) DionisNX(config)# d) DionisNX(config-if-ethernet0)# 2. Какую команду нужно выполнить для включения интерфейса? a) DionisNX> enable b) DionisNX# enable interface ethernet 0 c) DionisNX(config)# enable interface ethernet 0 d) DionisNX(config-if-ethernet0)# enable 3. Какой командой создается статический маршрут? a) DionisNX> enable b) DionisNX# route add c) DionisNX(config)# ip route d) DionisNX(config-if-ethernet0)# do ip route 4. Как проверить доступность хоста по сети (выберите три)? a) DionisNX> ping b) DionisNX# ping c) DionisNX(config)# ping d) DionisNX(config-if-ethernet0)# do ping 5. Как посмотреть IP-адреса интерфейсов (выберите два)? a) DionisNX> show interface b) DionisNX# show interface config c) DionisNX(config)# show interface d) DionisNX(config-if-ethernet0)# show interface config 31

32 Часть 3. Межсетевой экран Защита удаленного управления по протоколу SSH В Дионис NX есть служба SSH, которая включена по умолчанию и позволяет оператору удаленно подключаться к хосту Дионис по любому интерфейсу на порт 22. Доступ администратору по умолчанию запрещен, но это не мешает оператору, подключившись, ввести команду enable и получить права администратора. Настройка доступа к службе удаленного управления сводится к разрешению административного логина, выбору интерфейсов доступа и клиентских IP-адресов. (config)# service ssh (config-service-ssh)# (config-service-ssh)# permit-adm-login (config-service-ssh)# listen (config-service-ssh)# allow (config-service-ssh)# deny cli Переход в режим конфигурирования службы SSH Разрешение административного логина Выбор интерфейса для управления Разрешить подключение Запретить подключение Удобно сразу разрешить подключение администратору командой permit-adm-login. Протокол SSH не использует СКЗИ ГОСТ и, следовательно, не является безопасным. Удаленное управление должно осуществляться из защищенных сетей или по шифрованным туннелям. Ограничить выбор интерфейсов, к которым возможно подключение можно командой listen, в которой так же можно указать порт. После ввода команды удаленное подключение будет возможно только по указанному интерфейсу и порту. Дополнительно можно задать правила фильтрации allow и deny, которые, соответственно, разрешают и запрещают доступ к SSH с клиентских IP-адресов. Правила задаются по шаблону (adm либо IP-адрес). Звездочку (*) можно использовать в качестве «любой» цифры IP-адреса или «любого» пользователя. Например: «allow разрешает подключение adm и cli c IP-адресов, начинающихся на «deny cli» запрещает подключение cli с любых IP-адресов. 32

33 Настойки службы SSH применяются после ее перезапуска. Так что есть возможность проверить их правильность перед применением. Фильтрация по спискам доступа Списки доступа access-list содержат правила фильтрации трафика. Чтобы список доступа работал, он должен быть установлен на вход либо на выход интерфейса. Правила фильтрации просматриваются по порядку сверху вниз до первого совпадения. Если трафик не попал под правила он разрешается. (config)# ip access-list myacl (config-acl-myacl)# (config-acl-myacl)# permit icmp (config-acl-myacl)# deny Создание списка доступа и режим его редактирования Разрешающее правило Запрещающее правило (config-if-ethernet0)# ip access-group myacl in Установка списка доступа на интерфейс Создать список доступа можно командой ip access-list, указав имя списка. Если списка с таким именем нет, то он создастся, и система перейдёт в режим его редактирования. В режиме редактирования списка доступа создаются правила фильтрации: разрешающие permit и запрещающие deny. Посмотреть параметры правил фильтрации можно в справке, например, к permit: DionisNX(config-acl-myacl)# permit Protocol Protocol ttl TTL value src Source match dst Destination match connlimit Restrict the number of parallel connections to a server per client state Match input packet state mac Match input packet by MAC content Match by content tos Match by tos dscp Match by dscp class datestart Match start date datestop Match stop date timestart Match start time timestop Match stop time monthdays Match given days of the month 33

34 weekdays recent remark log rate Match given weekdays Work with recent list of IP addresses comment this rule log this rule Match at a limited rate Protocol номер или название протокола (поле Protocol в IP-заголовке). ttl время жизни (поле Time To Live в IP-заголовке). src IP-адрес отправителя. dst IP-адрес получателя. connlimit число параллельных подключений к серверу с одного клиента. state состояние подключения (ошибочное, установленное, новое, существующее). mac MAC-адрес отправителя. content расширенный фильтр, использующий специальные выражения. tos приоритет (поле Type Of Service в IP-заголовке). dscp класс трафика (поле Differentiated Services Code Point в IP-заголовке). datestart, datestop, timestart, timestop, monthdays, weekdays время запуска и останова срабатывания правил фильтрации. recent список недавних пакетов. rate частота попадания пакета под правило. Параметры фильтрации могут быть скомбинированы в одном правиле. После создания правило получает порядковый номер в списке. Посмотреть список можно командой: DionisNX(config-acl-myacl)# do show 1 permit src /24 dst /24 2 permit src /24 3 permit src /24 4 deny В приведенном выше примере последняя строка содержит правило запрещающее весь трафик таким образом все, что не попало под разрешающие правила, будет запрещено. Если не указать последнюю строку, то такой список будет бесполезен. 34

35 Если требуется вставить правило в определенную строку в списке, то нужно указать номер строки в начале. DionisNX(config-acl-myacl)# 4 permit icmp Удалить правило можно по его номеру командой: DionisNX(config-acl-myacl)# no 2 Трансляция по NAT-спискам NAT-списки nat-list описывают трансляцию IP-адресов и портов. Списки состоят из правил трансляции. С точки зрения межсетевого экрана, разделяющего внутреннюю и внешнюю сети, трансляция всегда выполняется на внешнем интерфейсе для входящего и исходящего трафика. Поэтому NAT-список должен быть привязан к внешнему интерфейсу. (config)# ip nat-list mynat (config-nat-mynat)# (config-nat-mynat)# exclude in (config-nat-mynat)# nat src snat ip (config-if-ethernet0)# ip nat-group mynat Создание списка NAT и режим его редактирования Исключение потока из обработки Создание правила Привязка списка NAT к интерфейсу Создать NAT-список можно командой ip nat-list, указав имя списка. Если списка с таким именем нет, то он создастся, и система перейдёт в режим его редактирования. Правила трансляции nat и правила исключения из списка exclude создаются в режиме редактирования NAT-списка. Правила nat имеют следующий синтаксис: параметры выбранных пакетов, тип трансляции, параметры трансляции. Например, в правиле: DionisNX(config-nat-mynat)# nat src snat ip Параметры выбранных пакетов src , тип трансляции snat, параметры трансляции ip

36 Пакеты выбираются по параметрам, которые можно увидеть в подсказке к правилу nat. DionisNX(config-nat-mynat)# nat Protocol Protocol src Source match dst Destination match NAT type NAT type (snat/dnat/masquerade/netmap/redirect) Protocol номер или название протокола. Если указать tcp или udp, то станут доступны: sport порт отправителя и dport порт получателя. src и dst IP-адреса отправителя и получателя. NAT type тип трансляции (snat, dnat, masquerade, netmap или redirect). В зависимости от выбранного типа меняется набор параметров трансляции. Как и списки доступа, правила NAT просматриваются сверху вниз до первого совпадения. Трафик, не попавший под правила, не подвергается трансляции. Если требуется вставить правило в определенную строку в списке, то нужно указать номер строки в начале. Удалить правило можно по его номеру командой no. Посмотреть работу правил трансляции можно командой show ip connections, показывающей соединения, обрабатываемые маршрутизатором. SNAT Source NAT трансляция IP-адреса и порта отправителя. Работает для датаграмм исходящих с внешнего интерфейса. В основном используется для обеспечения доступа с частных IP-адресов из внутренней сети во внешнюю сеть. Если хостов много, то проще использовать другой тип трансляции masquerade. В качестве параметров трансляции указываются: ip внешний IP-адрес, под которым внутренние хосты выходят во внешнюю сеть, или диапазон IP-адресов, из которого берутся внешние IP-адреса. port порт или диапазон портов, позволяет ограничить используемые порты. random случайный выбор порта. При работе транслятора внутренние порты передаются без изменений, если указан параметр, то выбирается случайный порт, который заменяет внутренние. 36

37 Пример настройки SNAT nat-list.101 Рабочая станция Внутренняя сеть /24 eth1.1 Дионис eth2.2.3 Внешняя сеть /24 Интернет SNAT Рабочей станции с IP-адресом из внутренней сети нужно обеспечить выход в интернет под IP-адресом , для чего на Дионисе выполняются следующие настройки. DionisNX(config-nat-mynat)# nat src snat ip DionisNX(config-if-ethernet2)# ip secondary-address /24 Внимание! На внешнем интерфейсе нужно обязательно задать дополнительный IP-адрес или несколько дополнительных IP-адресов, которые указаны в параметрах трансляции для того, чтобы интерфейс отвечал на ARP-запросы по этим IP-адресам. Пакеты, маршрутизируемые на внешний интерфейс ethernet2 из внутренней сети, с источником , транслируются в пакеты с источником IP-адрес назначения не меняется. Например, при обращении с хоста на IP-адрес можно посмотреть подключения и увидеть параметры исходящих (запросы) и входящих датаграмм (ответы): DionisNX# show ip connections snat tcp ESTABLISHED src= dst= sport=49480 dport=80 src= dst= sport=80 dport=49480 Запросы имеют: src= dst= sport=49480 dport=80. Ответы на эти запросы имеют: src= dst= sport=80 dport=49480, обратите внимание, что ответы приходят не на IP-адрес источника ( ), а на внешний NAT-адрес из правила трансляции ( ). Параметры: tcp, 6, и ESTABLISHED означают, соответственно, название протокола, номер протокола, время поддержания соединения в активном состоянии (в секундах) и текущее состояние соединения. 37

38 DNAT Destination NAT трансляция IP-адреса и порта получателя. Работает для датаграмм входящих на внешний интерфейс. Используется для обеспечения доступа из внешней сети к хостам из внутренней. Следует применять, если нужно выставить сервера или службы в интернет. В качестве параметров указываются: ip внутренний IP-адрес хоста, или диапазон внутренних IP-адресов. Диапазон адресов позволяет распределить нагрузку между внутренними серверами, которые выставлены наружу под одним IP-адресом. random случайный выбор порта. port порт или диапазон портов. persistent для каждого IP-адреса отправителя, IP-адрес получателя заменяется на все время на один и тот же IP-адрес. Имеет смысл при указании диапазона IPадресов, в этом случает каждое соединение с одного и того же IP-адреса будет происходить с одним и тем же IP-адресом. Если же этот параметр не указан, то каждое соединение происходит под разными адресами из указанного диапазона. Пример настройки DNAT nat-list.101 Рабочая станция Внутренняя сеть /24 eth1.1 Дионис eth2.2.3 Внешняя сеть /24 Интернет DNAT Для доступа к рабочей станции с IP-адресом из интернета по IP-адресу на Дионисе выполняются следующие настройки. DionisNX(config-nat-mynat)# nat dst dnat ip DionisNX(config-if-ethernet2)# ip secondary-address /24 Внимание! На внешнем интерфейсе нужно обязательно задать дополнительный внешний IP-адрес или несколько дополнительных IP-адресов для того, чтобы интерфейс отвечал на ARP-запросы по этим IP-адресам. Приходящие на интерфейс ethernet2 пакеты с IP-адресом назначения транслируются в пакеты с IP-адресом назначения Адрес отправителя не меняется. 38

39 Например, при обращении с IP-адреса на IP-адрес можно посмотреть подключения и увидеть параметры исходящих (запросы) и входящих датаграмм (ответы): DionisNX# show ip connections dnat tcp ESTABLISHED src= dst= sport=5189 dport=5060 src= dst= sport=5060 dport=5189 Запросы имеют: src= dst= sport=5189 dport=5060. Ответы на эти запросы имеют: src= dst= sport=5060 dport=5189, обратите внимание, что ответы приходят от NAT-адреса ( ), который указан в правиле трансляции. Masquerade Masquerade трансляция IP-адресов отправителей из внутренней сети в IP-адрес внешнего интерфейса, частный случай SNAT. Обычно не требует указания дополнительных параметров. Можно указать в качестве параметров: random случайный выбор порта и port порт или диапазон портов. Маскарад применяется для обеспечения доступа с частных IP-адресов в интернет. Пример настройки маскарада для внутренней сети /24. DionisNX(config-nat-mynat)# nat src /24 masquerade Дополнительный IP-адрес на внешнем интерфейсе создавать не нужно, так как используется IP-адрес, уже заданный при создании интерфейса. Пакеты маршрутизируемые на интерфейс ethernet2 с любым источником из внутренней сети /24, транслируются в пакеты с источником Адрес назначения не меняется. DionisNX# show ip connections snat tcp ESTABLISHED src= dst= sport=49480 dport=80 src= dst= sport=80 dport=49480 Картина подключений совпадает с SNAT. Обратите внимание, что ответы приходят не на IP-адрес источника ( ), а на IP-адрес внешнего интерфейса ( ). 39

40 Netmap Netmap трансляция номеров хостов из одной сети в другую. Т.е. транслируется только номер сети, номера хостов при этом не меняются. Можно транслировать, как адреса отправителей, в этом случае используется параметр src ip, так адреса получателей dst ip. Пример трансляции IP-адресов из сети /24 в сеть /24. DionisNX(config-nat-mynat)# nat src /24 netmap src ip /24 В этом случае, например, источник подменится на ; на ; на ; и т. д. Важно! Все используемые IP-адреса из сети должны быть прописаны на внешнем интерфейсе, как дополнительные. Redirect Redirect перенаправление трафика ко внутренним сервисам хоста Дионис NX. Трансляция не применяется. Используется, например, для перенаправления трафика на прозрачный прокси-сервер. Правило в этом случае выглядит так: DionisNX(config-nat-mynat)# nat tcp dport 80 redirect Exclude Exclude исключение трафика из обработки NAT; exclude in исключает трафик, входящий в интерфейс из внешней сети; exclude out исключает трафик исходящий из интерфейса во внешнюю сеть, т.е. полученный из маршрутизатора. Например: DionisNX(config-nat-mynat)# do show 1 exclude out dst /24 2 nat src snat ip nat dst dnat ip Первое правило в списке исключает из трансляции NAT трафик, исходящий из внешнего интерфейса и предназначенный для сети /24. 40

41 Лабораторная работа 3. Межсетевой экран Цели лабораторной работы: настройка функций межсетевого экрана для защиты удаленного управления, знакомство с работой списков доступа, обеспечение доступа к интернету хостов из внутренней сети при помощи NAT-списков. Схема стенда NAT.101 Рабочая станция WS-1 Внутренняя сеть 10.X.1.0/24 eth1.1 Дионис NX-1 eth2.2 Внешняя сеть X.0/25.1 Шлюз провайдера GW-1 Интернет.102 Рабочая станция WS-2 Внутренняя сеть 10.X.2.0/24 eth1.1 Дионис NX-2 eth Внешняя сеть X.128/ Шлюз провайдера GW-2 NAT Внимание! Далее примеры команд приведены для места номер 77. Не забывайте использовать IP-адреса для своего места. Список используемых команд (config)# service ssh (config-service-ssh)# permit-adm-login (config-service-ssh)# listen (config)# session timeout adm none (config)# ip access-list eth2-in Переход в режим конфигурирования службы SSH Разрешение подключения администратора по SSH Выбор интерфейса для удаленного управления Отмена таймаута для административного подключения Создание списка доступа 41

42 (config-acl-eth2-in)# deny icmp dst (config-if-ethernet2)# ip access-group eth2-in in (config)# do ping source (config)# ip nat-list list-eth2 (config-nat-list-eth2)# nat src /24 masquerade (config-nat-list-eth2)# nat dst dnat ip (config-if-ethernet2)# ip secondary-address /24 (config-if-ethernet2)# ip nat-group list-eth2 Создание правила фильтрации Установка списка доступа Пинг с указанием источника Создание NAT-списка Создание правила NAT masquerade Создание правила DNAT Указание дополнительного IPадреса Установка NAT-списка 1. Защита удаленного доступа по SSH 1.1. Войдите в режим конфигурирования службы SSH. NX-1(config)# service ssh NX-1(config-service-ssh)# 1.2. Проверьте текущие настройки. Служба включена и администратору разрешен доступ. По умолчанию доступ разрешен только для оператора, команда permitadm-login выполнена для административных целей. NX-1(config-service-ssh)# do show permit-adm-login enable 1.3. Задайте IP-адрес для удаленного доступа. Обратите внимание на тильду, появившуюся в приглашении, которая информирует о том, что система требует перезапуска службы для применения настроек. NX-1(config-service-ssh)# listen NX-1(config-service-ssh)

43 1.4. Проверьте правильность настройки. NX-1(config-service-ssh)

# do show listen permit-adm-login enable 1.5. Примените настройки SSH. Командой disable выключите, а затем командой enable включите службу SSH. При удаленном подключении останов службы не приведет к потере управления, так как выключение службы SSH не влияет на установленные подключения. NX-1(config-service-ssh)

# disable NX-1(config-service-ssh)# enable 1.6. Существует допустимый интервал неактивности пользователя, по истечении которого, сервер закрывает сессию. Для оператора интервал не задан, так что консоль открыта постоянно. Для администратора интервал 600 секунд, таким образом, через десять минут неактивности сервер закрывает сессию администратора, это удобно и безопасно. В учебных целях такое поведение, вероятно, будет мешать. Уберите интервал для администратора. Появится предупреждение о том, что настройки применятся при следующем подключении. NX-1(config-service-ssh)# session timeout adm none Warning: Setting will be applied after next login Сохраните конфигурацию и закройте подключение Подключайтесь снова, используя административную учетную запись adm и пароль dionisnx. Обратите внимание, при подключении администратором не нужно вводить команду enable. login as: adm password: NX-1# 1.9. Подключитесь к NX-2 и настройте его аналогично NX-1. Сохраните конфигурацию и перезагрузите хост. NX-2(config-service-ssh)# listen NX-2(config)# session timeout adm none 43

44 2. Создание списка доступа 2.1. C Диониса NX-1 выполните пинг внешнего интерфейса Диониса NX-2 ( ), чтобы убедиться в его доступности. NX-1(config)# do ping Создайте новый список доступа на NX-2. Добавьте правило, запрещающее пинг на IP-адрес внешнего интерфейса NX-2 и убедитесь, что оно добавилось. Все, что не подпадает по него будет разрешено. NX-2(config)# ip access-list eth2-in NX-2(config-acl-eth2-in)# deny icmp dst NX-2(config-acl-eth2-in)# do show 1 deny icmp dst Установите список доступа на внешний интерфейс. NX-2(config-acl-eth2-in)# interface ethernet 2 NX-2(config-if-ethernet2)# ip access-group eth2-in in 2.4. Снова c NX-1 выполните пинг внешнего интерфейса NX-2. Убедитесь, что ответов нет правило фильтрации работает Снимите список доступа с интерфейса. NX-2(config-if-ethernet2)# no ip access-group eth2-in in 3. Настройка NAT masquerade C Диониса NX-1 выполните пинг внешнего интерфейса Диониса NX-2 ( ), с указанием источника из внутренней сети ( ). Ответы от NX-2 не будут получены, так как на маршрутизатор провайдера GW-2 отсутствует маршрут в сеть, источник пинга. NX-1(config)# do ping source Создайте NAT-список list-eth2. Добавьте правило, скрывающее внутреннюю сеть под адресом внешнего интерфейса и посмотрите, что оно добавилось. NX-1(config)# ip nat-list list-eth2 NX-1(config-nat-list-eth2)# nat src /24 masquerade NX-1(config-nat-list-eth2)# do show 1 nat src /24 masquerade

45 3.3. Установите список на внешний интерфейс. NX-1(config-nat-list-eth2)# interface ethernet 2 NX-1(config-if-ethernet2)# ip nat-group list-eth Снова c NX-1 выполните пинг внешнего интерфейса NX-2. Появятся ответы, так как теперь источник пинга транслируется в IP-адрес внешнего интерфейса ( ). NX-1(config)# do ping source Настройте на Дионисе NX-2 NAT masquerade аналогично NX-1. Сохраните конфигурацию. NX-2(config)# ip nat-list list-eth2 NX-2(config-nat-list-eth2)# nat src /24 masquerade NX-2(config-nat-list-eth2)# interface ethernet 2 NX-2(config-if-ethernet2)# ip nat-group list-eth2 4. Настройка DNAT 4.1. Выполните c Диониса NX-2 пинг рабочей станции WS-1 ( ), которая находится во внутренней сети Диониса NX-1. Ответов не будет, так как на маршрутизаторе провайдера GW-2 отсутствует маршрут в сеть назначения. NX-2(config-if-ethernet2)# do ping Выставите WS-1 во внешнюю сеть под IP-адресом Для этого добавьте правило DNAT в созданном ранее NAT-списке. NX-1(config-nat-list-eth2)# nat dst dnat ip Настройте дополнительный IP-адрес на внешнем интерфейсе. NX-1(config-if-ethernet2)# ip secondary-address / Проверьте работу NAT. Снова выполните c NX-2 пинг WS-1 по внешнему IPадресу NX-2(config-if-ethernet2)# do ping Сохраните конфигурацию NX-1 и NX-2. 45

46 Контрольные вопросы по третьей части 1. Как разрешить оператору подключение по SSH? a) Разрешено по умолчанию. b) DionisNX# enable c) DionisNX(config)# service ssh enable cli d) DionisNX(config-service-ssh)# permit cli 2. Можно ли заблокировать удаленный доступ к Дионис NX по протоколу SSH при помощи списка доступа на этом Дионисе? a) Да. b) Нет. c) Да, только для оператора, администратор всегда будет иметь доступ. d) Да, только для администратора, оператор всегда будет иметь доступ. 3. Какой трафик будет заблокирован при установки списка доступа следующего содержания на вход интерфейса? ip access-list lan-in 1 permit dst a) Трафик на IP-адрес b) Все кроме трафика на IP-адрес c) Никакой трафик не будет заблокирован. d) Весь трафик будет заблокирован. 4. Какое NAT-правило открывает доступ из интернета к серверу с IP-адресом во внутренней сети? a) nat src snat ip b) nat src snat ip c) nat dst dnat ip d) nat dst dnat ip Какое NAT-правило открывает доступ в интернет с хоста ? a) nat dst dnat ip b) nat dst snat ip c) nat src /24 masquerade d) ни одно из перечисленных 46

47 Часть 4. Обслуживание Идентификатор платформы Дионис NX имеет привязку к аппаратной платформе. Для платформы вычисляется идентификатор Platform ID. Каждый дистрибутив Дионис NX собран и зашифрован под конкретный идентификатор и, следовательно, может быть установлен только на определенный сервер. Посмотреть Platform ID можно командой: DionisNX# show version DionisNX R Mill (2795) Date: :55:03 Kernel: Linux x86_64 Features: disec ike Platform ID: D A-A9C9-278E-B678 EMBR CSUM: daf077f9 Boot CSUM: dd5e9f8bdd998a1c3589c325d7923b045610f6c6ea6086b7bee43cec2424cd6a Kernel CSUM: b132bcabdbc59fb52f65b1299f190e377621c84fd6c cd163ae1ced56 System CSUM: 15b87cfa41b240ac883efaf9e56297ffb625d7f6d489862b39ce3e527fddba0c Integrity: 6edea527842cad9a054f6a4433a0e02337b91fd b81697c08e35 Вывод показывает версию ОС, дату выпуска ОС, версию ядра Linux, особенности конкретной сборки, идентификатор платформы и контрольные суммы. Файловая система Жесткий диск разбит на три раздела: загрузочный, системный и раздел данных. Загрузочный раздел предназначен только для чтения и хранит в себе загрузчик Grub. Системный раздел хранит в себе одну или несколько установленных версий ОС, одна из которых загружается при старте системы, при этом каждая версия имеет один и тот же идентификатор платформы. Дистрибутивы ОС поставляются в виде файлов с расширением DIP (Dionis Package), собранных и зашифрованных под конкретный Platform ID. Раздел с данными содержит один или несколько слотов с настройками ОС. Установленные ОС используют слоты для сохранения конфигураций, журналов и служебных файлов. Слотов, как и установленных ОС, может быть несколько. Между установленными ОС и слотами данных существует привязка. 47

48 Посмотреть разделы и доступное место на них можно командой: DionisNX# show disk Filesystem Size Used Available Use% Mounted on /dev/sda1 15.2M 1.3M 13.1M 9% /boot /dev/sda M 239.0M 662.4M 27% /dip /dev/sda G 47.4G 386.8G 11% /data Полезно обращать внимание на свободное место, особенно, если требуется хранить резервные копии или несколько ОС и слотов с данными. Администратор не может увидеть содержимое разделов. В файловой системе, из раздела данных, ему доступны три пространства: file, share и log; флешки и дискеты, при установки автоматически монтируются и получают имена flash0 и floppy0. Между этими пространствами можно копировать файлы, создавать и удалять папки. Также можно принимать и отправлять файлы по протоколам FTP и SSH. file: share: log: flash0: floppy0: Место сохранения файлов по умолчанию, индивидуальное в каждом слоте. Общее место для всех слотов, используется для хранения общих файлов, например, резервных копий. Место хранения журналов, индивидуальное в каждом слоте. Общее место, возникает автоматически при установки флешки. Общее место, возникает автоматически при установки дискеты. Команды для работы с файлами # ls share: Показ списка файлов # cat share:/nx.config Вывод содержимого файла на экран # copy file:/dionis.dbu share: Копирование файла # rm file:/dionis.dbu Удаление файла либо папки # mkdir flash0:/logs Создание папки 48

49 Передача файлов по SSH и FTP В Дионис NX есть возможность передавать файлы по протоколам FTP и SSH. Файлы, принимаемые по SSH и FTP сохраняются в пространство file. # copy file.nx Отправить по FTP # copy file.nx Получить по FTP # ssh put file.nx adm sshserver Отправить по SSH # ssh get adm sshserver file.nx Получить по SSH file.nx имя файла, например, DIP-пакет или startup-config. ftpuser и ftppass имя пользователя и его пароль на FTP-сервере. ftpserver имя или IP-адрес FTP-сервера. adm имя пользователя на SSH-сервере, для которого разрешено подключение. Для подключения к SSH-серверу необходимо также знать пароль пользователя, который будет запрошен при передаче файла. sshserver имя или IP-адрес SSH-сервера. Как передавать файлы при помощи PuTTY для Windows описано в приложении 2. Планировщик Файлы, используемые в текущий момент времени, нельзя изменить, для работы с ними существует планировщик, который позволяет отложить модификацию файлов на следующую перезагрузку. Применяется при обновлении ОС и резервном копировании. DionisNX# schedule backup Backup data FS on next reboot fsck Force filesystem check on next reboot migrate Migrate to the another OS using current data slot rebind Rebind current OS to data slot restore Restore data FS on next reboot backup создать резервную копию текущего слота данных. fsck проверить целостность файловой системы. 49

50 migrate перейти на другую установленную версию с текущими данными. rebind привязать текущий слот данных к другой установленной ОС. restore восстановить резервную копию. Установленные версии ОС Список установленных ОС можно посмотреть командой show boot, которая также покажет, какая именно ОС в данный момент загружается. DionisNX#show boot 0 dionisnx-1 (D) (C) 1 dionisnx-2 (F) Команда выводит список установленных ОС и флаги состояния. D Default (По умолчанию), версия, назначенная загружаемой по умолчанию. F Fallback (Откат), резервный версия для отката при отсутствии возможности загрузить версию по умолчанию. Откат происходит автоматически. E15 Experimental (Эксперимент), версия, загружаемая на время, на пробу. Время указывается в минутах после буквы Е. Через 15 минут после загрузки произойдет откат на версию, помеченную флагом F. C Current (Текущий), версия, загруженная в данный момент. d user default (Назначенный пользователем), версия, отмеченная администратором, как загружаемая по умолчанию, но не загруженная в данный момент, например, при откате на резервную версию. Флаги D, F и E можно устанавливать вручную и управлять загрузкой, при помощи параметров команды boot. # boot default dionisnx1 Установка загрузки по умолчанию # boot experimental dionisnx1 15 Установка загрузки на время # boot fallback dionisnx2 Пометка ОС, как резервной для отката 50

51 При успешной пробе версии экспериментальный флаг нужно снимать вручную иначе произойдет откат. Помечать для отката нужно версию, отличную от загружаемой по умолчанию, иначе при сбое, никакая версия не загрузится и восстановить работоспособность системы не удастся. # os install dionisnx1.dip Установка дистрибутива ОС # os remove dionisnx2 Удаление установленной ОС # os rename dionis-123 dionisnew Переименование ОС Удалить версию, запущенную в данный момент, нельзя, для ее удаления нужно перезагрузиться в другую версию, изменив флаг загрузки по умолчанию. Переименование изменяет лишь отображаемое имя в списке установленных дистрибутивов, посмотреть заводское имя можно командами show version и show os summary. Слоты с данными Посмотреть созданные слоты данных можно командой: DionisNX# show os data dionisnx-data Посмотреть привязку установленных ОС к слотам можно командой: DionixNX# show os summary Installed OSes: dionisnx-1 (F) dionisnx-2 [dionisnx-data] (D) (C) Data slots: dionisnx-data [dionisnx-2] (C) Для установленных ОС в фигурных скобках указано заводское наименование версии, а в квадратных скобках используемый слот с данными. Для слотов данных, в квадратных скобках установленная ОС, которая его использует. Слоты данных можно создавать, переименовывать, удалять и клонировать. 51

52 # os data create newslot Создание нового слота # os data rename oldslot newslot Переименование слота # os data clone oldslot newslot Клонирование слота # os data remove oldslot Удаление слота # os bind dionisnx1 newslot Привязка ОС к слоту # os bind dionisnx2 Отвязка ОС от слота Слот с данными, используемый в загруженной в данный момент ОС, нельзя отвязать или привязать. Сначала нужно перейти на другой слот, т. е. изменить привязку загруженной ОС. Сделать это можно, запланировав переход на следующую перезагрузку при помощи команды: DionisNX# schedule rebind datanew После перезагрузки произойдёт отвязка текущего слота и привязка нового с именем datanew. Обновление ОС Обновление ОС заключается в установке дистрибутива с новой версией, с последующей перезагрузкой и переходом на эту версию. Перезагрузка необходима для того, чтобы выполнить привязку текущего слота с данными к новой версии. Порядок обновления. 1. Установить новую версию. DionisNX# os install dionisnew.dip 2. Запланировать переход на новую версию после перезагрузки. DionisNX# schedule migrate dionisnew 3. Выполнить перезагрузку. DionisNX# reboot 52

53 После перезагрузки произойдет автоматическая привязка текущего слота данных к новой версии. Старая версия будет помечена флагом отката. Если требуется вернуться на старую версии, то это нужно делать аналогично, командой schedule migrate. Резервное копирование Дионис NX позволяет создать резервную копию установленной ОС в виде DIP-файла, копию слота данных в виде DBU-файла, либо сохранить конфигурацию в отдельный текстовый файл. Сохранять резервные копии лучше в общее пространство share, так они будут доступны из любой установленной ОС. Экспорт ОС в файл DIP По команде создается файл с расширением DIP, содержащий дистрибутив ОС, предназначенный для конкретного Platform ID. Процесс занимает некоторое время, система в этот момент не реагирует на команды. DionisNX# os export dionisnx-r-1.1-0d share: Архив слота данных в файл DBU По команде создается файл с расширением DBU, содержащий слот данных, размером не более 2 ГБ, если копия превышает размер, создается еще один файл. Сделано так, для возможности копирования архива на флешки с файловой сиcтемой FAT32. DionisNX# os data backup slotname share: Имя архивного файла содержит название версии, дату и время создания архива. Например, файл backup-dionisnx-1.1-0d dbu содержит архив версии dionisnx-1.1-0d, созданный 4-го октября 2013 года в 4 часа 37 минут и 35 секунд. На содержимое архива можно повлиять параметрами: DionisNX# os data backup slotname share: config-only Backup configuration files only no-log Don’t backup log files no-files Don’t backup user files force Force backup creation 53

54 config-only сохранить только конфигурационные файлы. no-log не сохранять журналы. no-files не сохранять содержимое пространства file. force принудительное создание архива, например, когда file уже содержит архив, тогда существующий архив помещается в создаваемый. Создание резервной копии можно запланировать на следующую перезагрузку. DionisNX# schedule backup share: Посмотреть информацию по архиву можно командой: DionisNX# show backup share:/backup-dionisnx-1.2-0d dbu Profile : share:/backup-dionisnx-1.2-0d dbu System ID : dionisnx-r-1.2-0d Description : Backup DionisNX 1.2-0d :23:07 Date/Time : :23:07 Size : Копирование конфигурационных файлов Сохранить конфигурационный файл можно простым копированием. Копия конфигурационного файла не сохраняет ключи шифрования, привязку сетевых карт. DionisNX# copy startup-config В системе существует файл default-config, содержащий исходную конфигурацию с завода, которую можно использовать для восстановления работоспособности при сбое. 54

55 Восстановление из резервной копии Восстановление версии ОС и слота данных 1. Установить версию. DionisNX# os install dionisnx1.dip 2. Создать новый слот данных. DionisNX# os data create newslot 3. Восстановить в него резервную копию. DionisNX# os data restore newslot backup-dionisnx1.dbu 4. Привязать установленную версию к новому слоту со старыми данными. DionisNX# os bind dionisnx1 newslot 5. Установить флаг загрузки по умолчанию на установленную версию. DionisNX# boot default dionisnx1 6. Перезагрузить систему. DionisNX# reboot Восстановления только слота данных Когда следует восстановить данные без восстановления версии, следует использовать восстановление по расписанию. В текущий слот запишутся данные из архива. DionisNX# schedule restore share:/backup-dionisnx1.dbu Восстановление конфигурационного файла Восстановить конфигурационный файл можно простым копированием, с последующей перезагрузкой. DionisNX# copy file:/nx.config startup-config DionisNX# reboot 55

56 Лабораторная работа 4. Обслуживание Цели лабораторной работы: знакомство с резервным копированием, восстановлением файлов и обновлением системы. Список используемых команд # show version Версия # show os summary Привязка ОС к слотам данных # os export dionisnx-r share: Экспорт ОС в DIP-файл # os data backup dionisnx-r share: Резервная копия данных # copy startup-config share:/nx-1.config Копия конфигурации # show backup share:/backup-dionisnx dbu Информация о резервной копии # ls share: Список файлов # ssh put share:/nx-1.config adm Копирование файла по SSH # cat nx-1.config Вывод содержимого файла # os install dionisnx-r dip Установка ОС # schedule migrate dionisnx-r Переход на новую ОС # os data create nxdata Создание слота данных # os data restore nxdata share:/backup-dionisnx dbu Восстановление данных из резервной копии # os bind dionisnx-r nxdata Привязка ОС к слоту данных # boot default dionisnx-r Установка загрузки ОС # os remove dionisnx-r Удаление ОС # os data remove dionisnx-r Удаление слота данных 56

57 1. Просмотр установленных ОС и существующих слотов данных 1.1. Посмотрите версию ОС, работающую в данный момент. Обратите внимание на идентификатор платформы. NX-1# show version DionisNX R Mill (2795) Date: :55:03 Kernel: Linux x86_64 Features: disec ike Platform ID: D A-A9C9-278E-B678 EMBR CSUM: daf077f9 Boot CSUM: dd5e9f8bdd998a1c3589c325d7923b045610f6c6ea6086b7bee43cec2424cd6a Kernel CSUM: b132bcabdbc59fb52f65b1299f190e377621c84fd6c cd163ae1ced56 System CSUM: 15b87cfa41b240ac883efaf9e56297ffb625d7f6d489862b39ce3e527fddba0c Integrity: 6edea527842cad9a054f6a4433a0e02337b91fd b81697c08e Посмотрите, какие ОС установлены, какие слоты данных используются и их привязку. NX-1# show os summary Installed OSes: dionisnx-r-1.1-0u [dionisnx-r-1.1-0u ] (D) (F) (C) Data slots: dionisnx-r-1.1-0u [dionisnx-r-1.1-0u ] (C) 2. Создание резервных копий 2.1. Выполните экспорт установленной ОС в DIP-пакет. Экспорт занимает некоторое время, и система не реагирует на клавиатуру в этот момент. Подождите пока появится приглашение. NX-1# os export dionisnx-r-1.1-0u share: 2.2. Скопируйте стартовую конфигурацию в отдельный файл. NX-1# copy startup-config share:/nx-1.config Info: copying ‘startup-config’ to ‘share:/nx-1.config’ Создайте резервную копию данных. Копия данных тоже занимает время. NX-1# os data backup dionisnx-r-1.1-0u share: Info: Backup : backup-dionisnx dbu Info: Wait please. Info: The data backup was succesfully created 57

58 2.4. Посмотрите информацию о созданном архиве NX-1# show backup share:/backup-dionisnx dbu Profile : share:/backup-dionisnx dbu System ID : dionisnx-r-1.1-0u Description : Backup DionisNX :32:19 Date/Time : :32:19 Size : 2.5. Посмотрите список созданных файлов резервных копий. NX-1# ls share: total rw-rw-r— 1 adm adm 1.1M Dec 25 13:32 backup-dionisnx dbu -rw-rw-r— 1 adm adm 33.4M Dec 25 13:30 dionisnx-r-1.1-0u D A-A9C9-278E-B678.x86_64.dip -rw-rw-r— 1 adm adm 1.9K Dec 25 13:32 nx-1.config 3. Обновление версии 3.1. Установите новую версию ОС из share. NX-1# os install share:/dionisnx-r-1.1-0u d a-a9c9-278e- B678.x86_64.dip Info: The installed package has name «dionisnx-r-1.1-0u

1″ Посмотрите, что ОС установилась и находится в меню загрузки. Вновь установленная ОС не имеет флагов. Убедитесь, что существующий слот данных используется старой ОС. NX-1# show os summary Installed OSes: dionisnx-r-1.1-0u

1 dionisnx-r-1.1-0u [dionisnx-r-1.1-0u ] (D) (F) (C) Data slots: dionisnx-r-1.1-0u [dionisnx-r-1.1-0u ] (C) 3.3. Запланируйте переход на новую версию и перезагружайтесь. NX-1# schedule migrate dionisnx-r-1.1-0u

1 Info: The OS migrate will be performed on next reboot NX-1# reboot 58

59 3.4. Дайте хосту некоторое время на перезагрузку. Подключитесь и убедитесь, что загрузилась новая версия. Еще раз посмотрите список загрузки. Обратите внимание на новой версии появились флаги. Проверьте, что слот остался старый и посмотрите, как изменилась его привязка. Теперь он используется новой ОС. NX-1# show os summary Installed OSes: dionisnx-r-1.1-0u (F) dionisnx-r-1.1-0u

1 [dionisnx-r-1.1-0u ] (D) (C) Data slots: dionisnx-r-1.1-0u [dionisnx-r-1.1-0u

1] (C) 4. Восстановление из резервной копии 4.1. Создайте новый слот данных. NX-1# os data create nxdata Info: The newly created data slot has name «nxdata» Восстановите в созданный слот резервную копию. NX-1# os data restore nxdata share:/backup-dionisnx dbu Info: Restoring backup backup-dionisnx dbu. Info: Wait please. Info: The data was succesfully restored Привяжите новый слот к старой версии ОС. NX-1# os bind dionisnx-r-1.1-0u nxdata 4.4. Установите на старую версию ОС флаг загрузки по умолчанию и перезагружайтесь. NX-1# boot default dionisnx-r-1.1-0u NX-1# reboot 59

60 4.5. Дайте хосту некоторое время на перезагрузку. Подключитесь и убедитесь, что загружена старая версия ОС. Посмотрите привязку. NX-1# show os summary Installed OSes: dionisnx-r-1.1-0u [nxdata] (D) (F) (C) dionisnx-r-1.1-0u

1 [dionisnx-r-1.1-0u ] Data slots: nxdata [dionisnx-r-1.1-0u ] (C) dionisnx-r-1.1-0u [dionisnx-r-1.1-0u

1] 4.6. Удалите версию, которую больше не будете использовать. NX-1# os remove dionisnx-r-1.1-0u

1 Info: The ‘dionisnx-r-1.1-0u

1′ OS was succesfully removed Удалите слот данных, который был привязан к удаленной версии ОС. NX-1# os data remove dionisnx-r-1.1-0u Посмотрите привязку. Убедитесь, что осталась одна ОС и один слот данных. NX-1# show os summary Installed OSes: dionisnx-r-1.1-0u [nxdata] (D) (F) (C) Data slots: nxdata [dionisnx-r-1.1-0u ] (C) 60

61 Контрольные вопросы по четвертой части 1. Что выполняет идентификатор платформы? a) Показывает версию установленной ОС. b) Связывает версию установленной ОС со слотом данных. c) Связывает версию установленной ОС с оборудованием. d) Связывает слот данных с оборудованием. 2. Что нельзя сохранить в ОС Дионис NX? a) Установленную ОС в файл DIP. b) Слот данных в файл DBU. c) Конфигурацию в текстовый файл. d) Образ диска на флешку. 3. По какому протоколу возможна передача файлов между узлами Дионис? a) SSH. b) FTP. c) SSH и FTP. d) Не возможна. 4. Как происходит обновление версии? a) Происходит немедленно по команде os install. b) Происходит немедленно по команде boot default c) Требует перезагрузки для перехода на новую версию по команде schedule migrate. d) Требует перезагрузки для сохранения данных по команде schedule restore. 5. Что восстанавливается из архива DBU? a) ОС. b) Слот с данными. c) ОС и слот с данными. d) ОС, слот с данными и конфигурация. 61

62 Часть 5. Криптозащита Инициализация криптосистемы Криптосистема Дионис NX использует ключи шифрования, которые должны храниться в зашифрованном виде. Для шифрования ключей используется ключ доступа, который создается датчиком случайных чисел (ДСЧ). Датчик нужно инициализировать, для чего требуется начальное заполнение ДСЧ. Проверить, что на внешнем носителе есть файлы, содержащие начальное заполнение ДСЧ можно командой: DionisNX# show crypto access key random-inis Команда покажет имена файлов и тип контейнера, содержащего начальное заполнение ДСЧ. Возможные варианты: old-dionis симметричные ключи; old-dionis-kb2 симметричные ключи KB-2; pkcs15 несимметричные ключи PKI. Инициализация криптосистемы предполагает создание ключа доступа, его сохранение на внешний носитель и установку загрузки ключа с этого носителя. # crypto access key init Создание ключа доступа # crypto access key store Сохранение ключа доступа на внешнем носителе (config)# crypto access key load Установка загрузки ключа доступа в конфигурации Внешним носителем может быть флешка либо дискета. При сохранении ключа доступа на внешний носитель, предлагается создать пароль для доступа к ключу. Не стоит этого делать. Если, например, в дальнейшем не будет возможности ввести этот пароль из-за отсутствия монитора и клавиатуры. После инициализации носитель с ключом доступа требуется вставлять после каждого выключения питания. При перезагрузках и настройке носитель не требуется. Проверить состояние ключа доступа можно командой: DionisNX# show crypto access key status Состояние ключа доступа может быть: no key не создан; not stored не сохранен, но создан; ok создан и сохранен. 62

63 Ключи шифрования, которые импортируются в криптосистему, зашифровываются на ключе доступа. Если создать новый ключ доступа, то старый удаляется и импортированные ключи шифрования надо загружать заново. Чтобы избежать повторной загрузки ключей шифрования, нужно использовать команду замены ключа доступа: DionisNX# crypto access key replace flash Команда меняет ключ доступа и перешифровывает импортированные ключи, их повторная загрузка не требуется. Туннели Disec Туннель Disec может быть создан между двумя Дионисами либо между Дионисом и VPNклиентом Disec (Фактор-ТС). Туннели используют симметричную ключевую схему. Ключи шифрования для туннелей должны быть импортированы в криптосистему, после этого их можно применять в туннелях. # crypto disec import key Импорт ключа шифрования (config)# crypto disec conn t1 (config-disec-t1)# (config-disec-t1)# local ip (config-disec-t1)# remote ip (config-disec-t1)# id 1 (config-disec-t1)# serial 222 (config-disec-t1)# local cn 1 (config-disec-t1)# remote cn 2 (config-disec-t1)# alg encryption (config-disec-t1)# permit src /24 dst /24 (config)# crypto disec enable conn t1 Создание туннеля Disec и режим его конфигурирования IP-адреса концов туннеля Идентификатор туннеля Серия и номера ключей шифрования Алгоритм упаковки в туннель Правила отбора трафика в туннель Включение туннеля Туннель настраивается симметрично на двух хостах. Идентификатор и серия ключей должны быть одинаковы на обоих хостах. 63

64 Алгоритм упаковки в туннель может принимать значения: compression только сжатие; encryption только шифрование; both сжатие и шифрование; none ни сжатие, ни шифрование не выполняется. Если туннель не использует шифрование, загрузка ключей и их настройка не обязательны. Правила отбора в туннель похожи на правила списков доступа, просматриваются сверх вниз до первого совпадения. Если требуется создавать правила в определенном порядке, то нужно использовать номер перед строкой. DionisNX(config-disec-t1)# 1 permit src /24 dst /24 На отбора трафика так же влияет порядок туннелей. Правила отбора первого (верхнего) туннеля в списке туннелей просматриваются первыми. Если требуется создавать туннели в определенном порядке, то используйте номер. DionisNX(config)# 1 crypto disec conn t1 Если требуется изменить порядковый номер туннеля, т. е. переместить туннель на другое место, то используйте команду crypto disec copy. Команда копирует существующий туннель в новый вместе со всеми параметрами и, возможно, правилами отбора. Новый туннель в случае успешного копирования будет выключен. DionisNX(config)# crypto disec copy t1 t force rules t1 старое имя туннеля. t2 новое имя туннеля. 77 идентификатор, присваиваемый новому туннелю. 5 номер в списке туннелей, под которым создать новый туннель. rules копировать правила туннеля. force принудительно копировать, если туннель с новым именем уже существует, он будет заменен. Например, команда: DionisNX(config)# crypto disec copy t1 t rules force Переместит туннель t1 на первое место в списке туннелей с установкой идентификатора 100 с сохранением правил отбора. Обратите внимание, старое и новое имя туннеля 64

65 совпадают, таки образом происходит не создание копии существующего туннеля, а перемещение туннеля. Для прохождения через NAT и через сети, в которых запрещен туннелированный трафик, возможна инкапсуляция данных в UDP командой: DionisNX(config-disec-t1)# encap В этом случае в поле протокол IP-заголовка будет устанавливаться значение 17 (UDP), вместо 4 (IPoverIP). Посмотреть список туннелей можно командой: NX-1(config)# do show crypto disec conns [#]NAME ID SRC DST SN LOC REM A B #t N N t B N #t N N #t B N [#]NAME имя туннеля, если перед именем стоит #, то туннель выключен. ID идентификатор туннеля. SRC, DST адреса локального и удаленного концов туннеля. SN, LOC и REM серия и криптономера ключей шифрования. A алгоритм: E шифрование, C сжатие, B шифрование и сжатие, N отсутствует. B блокировка туннеля: Y есть, N нет. 65

66 Лабораторная работа 5. Криптозащита Цели лабораторной работы: инициализация криптографической подсистемы; объединение внутренних сетей в VPN при помощи туннеля; настройка СКЗИ. Схема стенда eth1.1 eth2.2.1 Рабочая станция WS-1 Внутренняя сеть 10.X.1.0/24 Дионис NX-1 Внешняя сеть X.0/25 Шлюз провайдера GW Туннель ID X Интернет.102 eth1.1 eth Рабочая станция WS-2 Внутренняя сеть 10.X.2.0/24 Дионис NX-2 Внешняя сеть X.128/25 Шлюз провайдера GW-2 Виртуальные дискеты с ключевой информацией уже установлены в виртуальные машины NX-1 и NX-2. Дополнительных ключевых носителей не требуется. Внимание! Далее примеры команд приведены для места номер 77. Не забывайте использовать IP-адреса для своего места. Список используемых команд # show crypto access key status Показ ключа доступа # show crypto access key random-inis floppy Просмотр начального заполнения ДСЧ # crypto access key init Создание ключа доступа # crypto access key store floppy Сохранение ключа доступа (config)# crypto access key load floppy Установка загрузки ключа доступа # crypto disec import key floppy Загрузка ключа шифрования (config)# crypto disec conn t1 Создание туннеля 66

67 (config-disec-t1)# local ip (config-disec-t1)# remote ip (config-disec-t1)# id 1 (config-disec-t1)# serial 222 (config-disec-t1)# local cn 1 (config-disec-t1)# remote cn 2 (config-disec-t1)# alg encryption (config-disec-t1)# permit src /24 dst /24 (config)# crypto disec enable conn t1 IP-адреса концов туннеля Идентификатор туннеля Серия и номера ключей шифрования Алгоритм упаковки в туннель Создание правила отбора Включение туннеля 1. Инициализация криптосистемы 1.1. Проверьте содержимое дискеты и убедитесь, что дискета присутствует и читается. NX-1# ls floppy0: total 3 -rwxrwxr-x 1 adm adm 38 Oct GK.DB3* drwxrwxr-x 3 adm adm 512 Jan HOST/ drwxrwxr-x 2 adm adm 512 Jan KM_K/ -rwxrwxr-x 1 adm adm 36 Aug 1 18:30 RANDOM.INI* -rwxrwxr-x 1 adm adm 70 Oct UZ.DB3* 1.2. Проверьте текущее состояние ключа доступа. NX-1# show crypto access key status no key 1.3. Проверьте на дискете наличие начального заполнения ДСЧ и убедитесь, что возможно провести инициализацию криптосистемы. NX-1# show crypto access key random-inis floppy HOST/ KM_K/ random.ini old-dionis 67

68 1.4. Создайте ключ доступа. На запрос о перезаписи старых ключей ответьте Y. NX-1# crypto access key init WARNING! This operation will create a new access key. All data encrypted on the old access key will be lost. The old access key will be erased from LCD memory. Are you sure? [y/n] Found random.ini on device /dev/fd0. Info: New access key created successfully. Info: Replace external media (if needed) and execute Info: ‘crypto access key store’ command now Сохраните созданный ключ доступа на дискете. Возможно появление предупреждения о наличии на дискете старого ключа доступа, который остался от предыдущего учащегося. На предупреждение ответьте Y. На запрос пароля нажмите клавишу Enter, на повторный запрос нажмите клавишу Enter еще раз. NX-1# crypto access key store floppy Storing access key on device /dev/fd0. WARNING! Old access key found on the device. It will be overwritten. Are you sure? [y/n] Enter new password to protect the access key, or press Enter for none. New password: Repeat: Info: Access key stored successfully. Info: Enter ‘configure’ mode and execute Info: ‘crypto access key load’ command Пропишите в конфигурацию загрузку ключа доступа при старте системы. NX-1(config)# crypto access key load floppy Info: Found access key on device /dev/fd0. Reading access key from floppy device. Warning: The access key is not stored in LCD RAM. No LCD detected. Info: Access key read successfully. Random generator initialized Проверьте, что на дискете появился файл acc-key, содержащий ключа доступа. NX-1(config)# do ls floppy0: total 3 -rwxrwxr-x 1 adm adm 69 Aug 1 18:31 acc-key* -rwxrwxr-x 1 adm adm 38 Oct GK.DB3* drwxrwxr-x 3 adm adm 512 Jan HOST/ drwxrwxr-x 2 adm adm 512 Jan KM_K/ -rwxrwxr-x 1 adm adm 36 Aug 1 18:30 RANDOM.INI* -rwxrwxr-x 1 adm adm 70 Oct UZ.DB3* 68

69 1.8. Инициализируйте криптосистему Диониса NX-2. NX-2# crypto access key init NX-2# crypto access key store floppy NX-2(config)# crypto access key load floppy 2. Создание туннеля Disec 2.1. С Диониса NX-1 выполните пинг внутреннего интерфейса Диониса NX-2 ( ) с источника из внутренней сети ( ). Ответов не будет, так как шлюз провайдера GW-1 не имеет маршрутов во внутренние сети. NX-1# ping source Загрузите с дискеты ключ шифрования в подсистему Disec. NX-1# crypto disec import key floppy Info: key (serial:222; cn:1) successfully imported 2.3. Создайте новый туннель с именем t1. Настройте параметры туннеля для связи с Дионисом NX-2. NX-1(config)# crypto disec conn t1 NX-1(config-disec-t1)# local ip NX-1(config-disec-t1)# remote ip NX-1(config-disec-t1)# id 77 NX-1(config-disec-t1)# serial 222 NX-1(config-disec-t1)# local cn 1 NX-1(config-disec-t1)# remote cn 2 NX-1(config-disec-t1)# alg encryption 2.4. Добавьте правило отбора, которое направит в туннель трафик между IPадресами внутренних сетей. NX-1(config-disec-t1)# permit src /24 dst / Включите созданный туннель. NX-1(config-disec-t1)# crypto disec enable conn t Настройте Дионис NX-2 аналогично NX-1. Загрузите ключ шифрования с дискеты в подсистему Disec. NX-2# crypto disec import key floppy 69

70 2.7. Создайте новый туннель с именем t1. Настройте параметры туннеля для связи с Дионисом NX-1. IP-адреса и криптономера поменяются местами. NX-2(config)# crypto disec conn t1 NX-2(config-disec-t1)# local ip NX-2(config-disec-t1)# remote ip NX-2(config-disec-t1)# id 77 NX-2(config-disec-t1)# serial 222 NX-2(config-disec-t1)# local cn 2 NX-2(config-disec-t1)# remote cn 1 NX-2(config-disec-t1)# alg encryption 2.8. Добавьте правило отбора в туннель. NX-2(config-disec-t1)# permit src /24 dst / Включите созданный туннель. NX-2(config-disec-t1)# crypto disec enable conn t Проверьте работу туннеля. Cнова с Диониса NX-1 выполните пинг внутреннего интерфейса Диониса NX-2 ( ) с источника из внутренней сети ( ). NX-1(config)# do ping source Сохраните конфигурацию. 70

71 Контрольные вопросы по пятой части 1. Зачем нужен ключ доступа? a) Для включения Диониса. b) Для выключение Диониса. c) Для инициализации криптосистемы. d) Для шифрования туннеля. 2. Откуда загружаются ключи шифрования при работе туннелей? a) С флешки при старте туннеля. b) С флешки при старте системы. c) С жесткого диска при старте туннеля. d) С дискеты при старте системы. 3. Какие параметры совпадают на хостах, между которыми туннель (выберите два)? a) Идентификатор туннеля. b) Локальный IP-адрес. c) Удаленный IP-адрес. d) Серия ключей шифрования. 4. Какое правила отбора требуется для того, чтобы отбирать в туннель трафик с хоста в сеть /16? a) permit src /16 dst /16 b) permit src /16 dst /43 c) permit src /32 dst /16 d) Нельзя отбирать такой трафик, так как IP-адрес входит в сеть. 5. Какое действие обязательно при смене ключей шифрования? a) Сменить идентификатор туннеля. b) Удалить старые ключи. c) Сменить ключ доступа. d) Ничего из вышеперечисленного не обязательно. 71

72 Часть 6. Отладка Трассировка по спискам трассировки Трассировка по спискам трассировки использует правила фильтрации для выбора отслеживаемых пакетов. Существуют два варианта фиксации трассы. Можно фиксировать попадание выбранного пакета только в существующие списки доступа либо можно фиксировать полный путь прохождения пакета по маршрутизатору. Настройка варианта трассировки выполняется в службе журналов. (config)# service log (config-service-log)# (config-service-log)# trace (config-service-log)# trace all Переход в режим конфигурирования службы журналов Включение трассировки прохождения пакета только по спискам доступа Включение трассировки прохождения пакета по маршрутизатору Правила отбора пакетов для трассировки создаются в режиме редактирования списка трассировки. (config)# ip trace-list trl (config-trace-trl)# (config-trace-trl)# trace icmp (config)# ip trace-group trl Создание списка трассировки и режим его редактирования Создание правила трассировки Включение списка трассировки Правила трассировки имеют те же параметры, что правила фильтрации в списках доступа. После включения трассировки, создания списка трассировки и правил, нужно включить список трассировки, иначе, он просто создан, но не работает. Результаты трассировки записываются в журнал, который можно посмотреть командой show ip log. 72

73 Трассировка по спискам доступа Трассировку по спискам доступа в отличии от трассировки по спискам трассировки не нужно включать. Фиксация устанавливается на правила фильтрации в существующих списках доступа при помощи параметра log. (config-acl-myacl)# deny icmp log (config-acl-myacl)# deny icmp log all (config-acl-myacl)# deny icmp log alert Запись заголовка пакета Запись дампа пакета Запись в журнал alert.log К параметру log можно добавить параметры all и alert. All позволяет записывать в журнал дампы пакетов. Alert включает предупреждения (!), при попадании пакета под данное правило, трассировка таких правил пишется в журнал alert.log. Обычная трассировка записывается журнал, который можно посмотреть командой show ip log. Журнал aletr.log можно посмотреть командой show log alert Просмотр журнала с трассировкой Просмотром результатов трассировки можно управлять при помощи параметров. DionisNX# show ip log number Number of records all Show all records proto Proto filter src Source match dst Destination match in Input interface out Output interface stat Show stats follow Follow mode spaces Show extra spaces in output between lines numeric Numeric mode quiet Quiet mode date Date filter dump Dump mode file Read log data from file export Export to file 73

74 number число, выводимых записей. all показ всех записей proto фильтр по протоколу, например, proto icmp покажет только ICMP. src и dst фильтр по IP-адресу отправителя и получателя. in и out фильтр по входному и выходному интерфейсу. stat показать статистику, количество записей в журнале. follow режим слежения, показ журнала в режиме реального времени. spaces добавляет пустые строки между записями для облегчения просмотра. numeric режим показа IP-адресов, вместо доменных имен. quiet сокращенный показ записей. date фильтр по дате. dump режим показа дампов. file указывает путь к предварительно сохраненному журналу. export сохраняет журнал в файл. Tcpdump Утилита tcpdump позволяет выводить трассировку в режиме реального времени с сохранением дампов пакетов, обрабатываемых маршрутизатором. Похоже на трассировку с просмотром журнала в следящем режиме. Разница между трассировкой по фильтрам и tcpdump в том, что трассировка показывает на каком именно фильтре уничтожается датаграмма. Параметры утилиты настраивают фильтр отбора трафика, похоже на правила фильтрации в списках доступа вместе с параметрами просмотра журналов. DionisNX# tcpdump Network interface type Interface type (ethernet/gre/gretap/dummy/bond/bridge/hdlc/ls/lc/ps/pc) Protocol Protocol 74

75 numeric quiet verbose ether snaplen dump host net port snet dnet src dst sport dport count Numeric mode Quiet mode Verbose mode Show ethernet headers Snap length Dump mode Host to dump Net to dump Port to match Source network Destination network Source IP Destination IP Source port Destination port Number of packets to receive Network interface type тип интерфейса Protocol тип протокола numeric режим показа IP-адресов, вместо доменных имен. quiet или verbose сокращенный или расширенный вывод. snaplen указывает число байт для анализа. ether выводить информацию по ethernet заголовкам. dump показ дампа в виде hex или hex-ascii. host, src и dst показ пакетов относящихся к определенному адресу. net, snet и dnet показ пакетов относящихся к определенной сети. port, sport и dport показ пакетов относящихся к определенному порту. count счетчик числа пакетов после которого прекратить трассировку. 75

76 Лабораторная работа 6. Отладка Цели лабораторной работы: научится вести поиск пакетов, проходящих через маршрутизатор. Список используемых команд (config)# service log (config-service-log)# trace all (config)# ip trace-list icmp (config-trace-icmp)# trace icmp (config)# ip trace-group icmp Режим настройки службы журналов Включение трассировки Создание списка трассировки Создание правила трассировки Установка списка трассировки # show ip log proto icmp follow numeric Просмотр журнала (config-acl-icmplog)# permit icmp log Установка трассировки правила фильтрации # tcpdump icmp numeric Запуск tcpdump 1. Использование списка трассировки 1.1. Войдите в режим настройки службы журналов. Посмотрите, что в настройках службы присутствует команда trace all, то есть включена полная трассировка прохождения пакетов. NX-1(config)# service log NX-1(config-service-log)# do show log trace all size alert beep 1.2. Создайте новый список трассировки с отбором пакетов протокола ICMP. NX-1(config-service-log)# ip trace-list icmp NX-1(config-trace-icmp)# trace icmp 76

77 1.3. Включите созданный список трассировки. NX-1(config-trace-icmp)# ip trace-group icmp 1.4. Включите просмотр журнала в следящем режиме без использования DNS. NX-1(config)# do show ip log proto icmp follow numeric Use C-C to stop follow mode С хоста NX-2 выполните пинг одним пакетом внешнего интерфейса NX-1 ( ). NX-2# ping repeat 1 PING ( ): 56 data bytes 64 bytes from : seq=0 ttl=64 time= ms ping statistics packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max = /17.923/ ms 1.6. Посмотрите записи, которые журнал выводит в консоль. Их четыре: вход запроса в интерфейс, вход запроса в маршрутизатор, выход ответа из маршрутизатора, выход ответа из интерфейса. ‘TRACE: PREROUTING:policy:1’ IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto ICMP (1), length 84) > : ICMP echo request, id 49487, seq 0, length 64 ‘TRACE: INPUT:policy:1’ IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto ICMP (1), length 84) > : ICMP echo request, id 49487, seq 0, length 64 ‘TRACE: OUTPUT:policy:1’ IP (tos 0x0, ttl 64, id 29608, offset 0, flags [none], proto ICMP (1), length 84) > : ICMP echo reply, id 49487, seq 0, length 64 ‘TRACE: POSTROUTING:policy:1’ IP (tos 0x0, ttl 64, id 29608, offset 0, flags [none], proto ICMP (1), length 84) > : ICMP echo reply, id 49487, seq 0, length Снимите список трассировки. NX-1(config)# no ip trace-group icmp 77

78 2. Использование трассировки правила списка доступа 2.1. Создайте новый список доступа, отслеживающий протокол ICMP. NX-1(config)# ip access-list icmplog NX-1(config-acl-icmplog)# permit icmp log 2.2. Установите созданный список доступа на внешний интерфейс. NX-1(config-acl-icmplog)# interface ethernet 2 NX-1(config-if-ethernet2)# ip access-group icmplog in 2.3. Включите просмотр журнала в следящем режиме без использования DNS. NX-1(config)# do show ip log proto icmp follow numeric 2.4. С хоста NX-2 выполните пинг одним пакетом внешнего интерфейса NX-1 ( ) Посмотрите записи, которые журнал выводит в консоль. Это единственная запись, попадающая в фильтр: вход запроса в интрефейс. ‘permit icmp log’ IP truncated-ip — 56 bytes missing! (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto ICMP (1), length 84) > : ICMP echo request, id 37384, seq 0, length Снимите список с интерфейса. NX-1(config-if-ethernet2)# no ip access-group icmplog in 78

79 3. Использование утилиты tcpdump 3.1. Запустите tcpdump для поиска пакетов протокола ICMP. NX-1# tcpdump icmp numeric tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on any, link-type LINUX_SLL (Linux cooked), capture size bytes 3.2. С хоста NX-2 выполните пинг одним пакетом внешнего интерфейса NX-1 ( ) Посмотрите записи, которые tcpdump выводит в консоль. Их две: получение запроса интерфейсом, отправка ответа. 16:53: IP > : ICMP echo request, id 57869, seq 0, length 64 16:53: IP > : ICMP echo reply, id 57869, seq 0, length Остановите работу tcpdump, нажав Ctrl+C. 79

80 Контрольные вопросы по шестой части 1. Как узнать, какой список доступа блокирует пакет? a) Списком трассировки. b) Правилом списка доступа с параметром log. c) Командой tcpdump. d) Ничем из вышеперечисленного. 2. Как узнать, какой список доступа пропускает пакет? a) Списком трассировки. b) Правилом списком доступа с параметром log. c) Командой tcpdump. d) Ничем из вышеперечисленного. 3. Как записать в журнал попадание пакета, под определенное правило фильтрации? a) Списком трассировки. b) Правилом списка доступа с параметром log. c) Командой tcpdump. d) Ничем из вышеперечисленного. 4. Какая команда копирует журналы с трассировкой на флешку? a) # copy ip log flash0: b) # copy log: flash0: c) # copy trace all flash0:log d) # show ip log export flash0:log 5. Позволяет ли команда tcpdump, сохранять содержимое пакетов в файл? a) Да, для этого нужно указать параметр trace all в службе журналов. b) Да, для этого нужно указать параметр log в команде tcpdump. c) Да, для этого нужно указать имя файла в команде tcpdump. d) Нет, содержимое только выводится на экран в режиме реального времени. 80

81 Приложение 1. Список аббревиатур Английские BGP Border Gateway Protocol, протокол граничного шлюза. DHCP Dynamic Host Configuration Protocol, протокол динамической настройки узла. DNS Domain Name System, система доменных имён. DVMRP Distance Vector Multicast Routing Protocol, протокол дистанционно-векторной многоадресной маршрутизации. ESP Encapsulating Security Payload, протокол шифрования сетевого трафика. FTP File Transfer Protocol, протокол передачи файлов. GRE Generic Routing Encapsulation, общая инкапсуляция маршрутов. HTTP HyperText Transfer Protocol, протокол передачи гипертекста. IGMP Internet Group Management Protocol, протокол управления группами Интернета. IKE Internet Key Exchange, протокол согласования ключей шифрования. IP Internet Protocol, межсетевой протокол. IPSEC IP Security, набор протоколов для обеспечения шифрования данных. L2TP Layer 2 Tunneling Protocol, протокол туннелирования второго уровня. MAC Media Access Control, управление доступом к среде. NAT Network Address Translation, трансляция сетевых адресов. OSPF Open Shortest Path First, протокол динамической маршрутизации. PPTP Point-to-Point Tunneling Protocol, туннельный протокол типа точка-точка. QoS Quality of Service, качество обслуживания. RDP Remote Desktop Protocol, протокол удаленного рабочего стола. RIP Routing Information Protocol, протокол маршрутной информации. SNMP Simple Network Management Protocol, простой протокол сетевого управления. 81

82 SSH Secure Shell, защищенный протокол удаленного управления. TCP Transmission Control Protocol, протокол управления передачей. UDP User Datagram Protocol, протокол пользовательских датаграмм. VLAN Virtual Local Area Network, виртуальная локальная компьютерная сеть. VPN Virtual Private Network, виртуальная частная сеть. Русские ГОСТ ГОсударственный СТандарт. ДСЧ Датчик Случайных Чисел. ОС Операционная Система. СКЗИ Средства Криптографической Защиты Информации. 82

83 Приложение 2. Настройка PuTTY для Windows PuTTY свободно распространяемый SSH-клиент для ОС Windows. Скачать можно с официального сайта Выбор кодировки символов Кодировка символов в Дионис NX UTF-8. Для правильного отображения символов кириллицы выберите нужную кодировку из выпадающего списка. См. картинку ниже, дерево настроек, пункт Translation (трансляция). По возможности не используйте кириллицу. Сохранение настроек подключения Сохранить настройки подключения можно в списке Saved Sessions (сохраненные подключения). См. картинку ниже, дерево настроек, пункт Session (сессия). Это меню открывается при запуске PuTTY. 83

84 На картинке показаны три подключения: Default Settings (настройки по умолчанию), Edu- NX-1 и Edu-NX-2. Последние два созданы для удобства, чтобы не нужно было каждый раз при подключении вводить IP-адрес. Чтобы сохранить новое подключение, нужно в поле Host Name (or IP-address) ввести IPадрес либо имя хоста Дионис, в поле Port SSH-порт, в поле Saved Sessions название, под которым запомнить подключение, и нажать кнопку Save (сохранить). Первое подключение к Дионису Для подключения выберите сохраненное название и нажмите кнопку Open (открыть). Либо в поле Host Name (or IP-address) введите IP-адрес хоста Дионис, в поле Port SSHпорт и нажмите кнопку Open. При первом подключении к новому серверу возникает окно Putty Security Alert, предупреждающее о том, что ключа сервера нет списке доверенных серверов. 84

Источник

Читайте также:  Настройка редукционного клапана mignon
Adblock
detector