Пользователи, Конфигурация SSH, шифрование пароля

Пользователи, Конфигурация SSH, шифрование пароля
 (Users, SSH configuration, password encryption)

1. Без использования механизма aaa

1. Конфигурируем Hostname: hostname MyDev

1. Конфигурируем Domain name: ip domain-name mydev.lab

2. Генерируем Encryption keys:
     crypto key generate rsa

        Haw many bits in the modules [512]: 1024 – для SSH version 2 не менее  768 бит, cisco не рекомендует использовать ключ менее 1024 бит. 

3.  Активируем SSH version 2: ip ssh version 2

4. Создаем локального пользователя: username cisco secret cisco

Для имени пользователя и пароля крайне не рекомендуется использовать распространенные пароли, как в примере "cisco"!

5. активируем доступ по SSH протоколу:

line vty 0 15

transport input ssh

login local ? – активация использования локальной базы пользователей для подключения 

2. C использования механизма aaa

Пункты 1-3 оставим без изменений

4. Для примера - создадим пользователя с открытым паролем и после зашифруем его:

username cisco privilege 15 password 0 20_psw_11

service password-encryption

5. Активируем протокол ААА для организации доступа по username::password. (до активации ААА в системе обязательно должен быть заведен хотя бы один пользователь), иначе отключившись от сессии, вы потом не сможете подключится.

aaa new-model

aaa authentication login default local - Определяем использовать локальную базу пользователей

aaa authorization exec default local - Отменяем дополнительную авторизацию на enable, пользователь должен быть с privilege 15 

6. активируем доступ по SSH протоколу:

line vty 0 15

transport input ssh




Cisco NAT translation and port mapping (Cisco NAT трансляция и проброс портов)

Cisco NAT translation and port mapping

Cisco NAT трансляция и проброс портов

        В данной статье кратко описываться основные принципы настройки NAT (от англ. Network Address Translation — «преобразование сетевых адресов») на Cisco устройствах.

Рассмотрим 3 варианта:

1. Динамический NAT с преобразование запросов от приватных (private) адресов из внутренней сети в публичный (public) адрес провайдера;

2. Динамический NAT с преобразование запросов от приватных (private) адресов из внутренней сети в пул публичных (public) адресов провайдера;

3. Статический NAT для проброса портов во внутреннюю сеть.

1. Динамический NAT с преобразование запросов от приватных (private) адресов из внутренней сети в публичный (public) адрес провайдера

     Данная NAT трансляция наверное наиболее используема, так как применяется для организации доступа хостов локальной сети к интернет ресурсом. Как известно частные адреса, часто используемые для построения локальных сетей, не маршрутизируются. А следовательно для всех запросы от локальных хостов в интернет необходимо преобразовывать адрес источника (source address)  в адрес выделенный провайдером и наоборот.

Для описания примера используется топология приведенная ниже на рис.1.

Рис.1 Топология для описания примера.

      В  примере необходимо транслировать запросы от хостов сети 192.168.1.0/24 в интернет в запросы от адреса 1.1.1.1.

      Для этого на маршрутизаторе необходимо провести следящие настройки:

1.2 Определяем inside и outside интерфейсы для NAT трансляции (inside интерфейс из которого трафик попадает из сети в маршрутизатор, outside интерфейс из которого трафик попадает из маршрутизатора в сеть). В нашем примере интерфейс Fa0/0 – inside, интерфейс Fa0/1 – outside:

interface fa0/0

   ip nat inside

interface fa0/1

    ip nat outside

1.2 Определяем список доступа для сети которую необходимо транслировать (192.168.1.0/24):

ip access list standard NAT_INSIDE_NET

     permit 192.168.1.0 0.0.0.255

1.3 Включаем  NAT трансляцию адресов пакетов с адресом источника (source) из сети заданной в access list NAT_INSIDE_NET и выходящих через интерфейс fa0/1:

  ip nat inside source list NAT_INSIDE_NET interface fa0/1 overload.

        Вот и все, что необходимо для организации динамической трансляции. Однако нужно быть внимательным, очень часто упускают оператор overload, который определяет возможность перезаписи ранее используемы трансляций.

2. Динамический NAT с преобразование запросов от приватных (private) адресов из внутренней сети в пул публичных (public) адресов провайдера

        Данный тип трансляции используется, когда у компании выделен не один публичный адрес, а несколько, например, как на рис.2: 1.1.1.1 и 1.1.1.2.  

Рис.2 Топология для описания примера.

          В примере необходимо транслировать запросы от хостов сети 192.168.1.0/24 в интернет в запросы от адресов 1.1.1.1 или 1.1.1.2. Наличие нескольких адресов позволяет значительно увеличить возможное количество трансляций, хотя на мой взгляд данная технология имеет смысл только для огромных компаний.

        Для этого на маршрутизаторе необходимо провести настройки такие же, как в пунктах  1.1 и 1.2 а далее:

2.1 Определим пул адресов в которые будем транслировать:

  

  ip nat pool OUTSIDE_POOL 1.1.1.1 1.1.1.2 netmask 255.255.255.252

2.2 Включаем  NAT трансляцию адресов пакетов с адресом источника (source) из сети заданной в access list NAT_INSIDE_NET и выходящих через интерфейс fa0/1 в адреса пула OUTSIDE_POOL:

  ip nat inside source list NAT_INSIDE_NET pool OUTSIDE_POOL overload.

3. Статический NAT для проброса портов во внутреннюю сеть

       Пожалуй, данный вид трансляции не менее популярный, чем первый. Популярность данного вида вызвана необходимость получать доступ из внешней сети (internet) к внутренним ресурсам. Но как это сделать, если мы преобразовываем все адреса внутренней сети в единственный внешний адрес, еще и с неизвестным портом.

         Для понимания данной технологии рассмотрим пример  проброса запроса  поступающего на внешний адрес 1.1.1.1 порт 80 на внутренний хост (пусть это будет WEB сервер) 192.168.1.10 порт 80 рис.3.

Рис.3 Топология для описания примера.

3.1 Для этого на маршрутизаторе необходимо задать статическую трансляцию, которая определяет однозначное правило преобразование как для входящих, так и для исходящих пакетов:

  ip nat inside source static  tcp 192.168.1.10 80 1.1.1.1 80 overload.

    Данная команда для всех пакеты выходящие из интерфейса fa0/1 c source адресом 192.168.1.10 и tcp портом 80 будет преобразовывать source адрес на 1.1.1.1 с tcp портом 80, а все пакеты поступающие на интерфейс fa0/1 c адресом получателя (destination address)  1.1.1.1 и tcp портом 80 преобразовывать в пакеты с адресом получателя 192.168.1.10 и tcp портом 80.