منتخب بازارچه

تحليل كامل دستورات و تنظيمات روتر

aryagohar

کاربر تازه وارد
سلام
با اجازه دوستان از امروز مي خام شروع كنم به تحليل كامل دستورات و تنظيمات يك روتر
براي همين تنظيمات يه 3662 رو انتخاب كردم كه در موردش بحث كنيم.اميدوارم دوستان خوب من كاري نكنن كه من از گذاشتن كامل تمام IP ها اينجا شرمنده بشم. :rolleyes:


version 12.2
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname 3662
!
aaa new-model
aaa authentication login NO-TAC line
aaa authentication ppp default local group tacacs+
aaa authorization network default if-authenticated
aaa accounting nested
aaa accounting update newinfo
aaa accounting exec default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
enable secret 5 $1$1nNS$ism0xqaEycU/
enable password 7 11584B
!
username myconf password 7 00071C080C
username system privilege 15 password 7 00512055
username payam password 7 060C454A
username reza password 7 1416001203
ip subnet-zero
ip rcmd rsh-enable
ip rcmd remote-host system 213.155.46.2 system enable
ip wccp version 1
ip wccp web-cache redirect-list 150
!
!
ip name-server 195.146.32.1
ip name-server 195.146.32.65
ip name-server 195.146.32.2
ip name-server 195.146.32.66
ip name-server 192.9.9.3
!
async-bootp dns-server 213.155.46.2
!
!
!
interface FastEthernet0/0
ip address 217.219.93.1 255.255.255.0
ip access-group 121 in
ip access-group 121 out
ip policy route-map ptt
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 213.155.46.1 255.255.255.0
ip access-group 121 out
ip policy route-map ptt
duplex auto
speed auto
!
interface Serial1/0
ip unnumbered FastEthernet0/0
ip access-group 121 in
ip access-group 121 out
ip accounting output-packets
ip wccp web-cache redirect out
!
interface Serial1/1
ip unnumbered FastEthernet0/1
ip access-group 121 out
ip wccp web-cache redirect out
no keepalive
ignore-dcd
!
interface Serial1/2
no ip address
shutdown
!
interface Serial1/3
no ip address
shutdown
!
interface Group-Async1
ip unnumbered FastEthernet0/1
ip access-group 121 in
ip access-group 121 out
encapsulation ppp
ip tcp header-compression passive
ip policy route-map ptt
async dynamic address
async dynamic routing
async mode interactive
peer default ip address pool dialup
ppp authentication chap pap
group-range 65 80
!
interface Group-Async2
ip unnumbered FastEthernet0/1
ip access-group 121 in
ip access-group 121 out
encapsulation ppp
ip tcp header-compression passive
ip policy route-map ptt
async mode interactive
peer default ip address pool dialup
ppp authentication pap chap
group-range 97 112
!
ip local pool dialup 213.155.46.235 213.155.46.254
ip classless
ip route 0.0.0.0 0.0.0.0 Serial1/0
no ip http server
ip pim bidir-enable
!
access-list 7 permit 192.168.1.0 0.0.0.255
access-list 7 permit 213.155.46.0 0.0.0.255
access-list 101 permit ip 213.155.46.0 0.0.0.255 any
access-list 121 deny tcp any any range 135 139
access-list 121 deny tcp any any eq 4444
access-list 121 deny tcp any any eq 1434
access-list 121 deny udp any any eq 1434
access-list 121 deny tcp any any eq 445
access-list 121 deny tcp any any eq 593
access-list 121 deny udp any any range 995 999
access-list 121 deny udp any any eq ntp
access-list 121 permit ip any any
access-list 122 deny icmp any any echo
access-list 122 deny icmp any any echo-reply
access-list 122 permit ip any any
access-list 150 permit tcp 217.219.93.0 0.0.0.255 any eq www
access-list 150 permit tcp 213.155.46.0 0.0.0.255 any eq www
route-map ptt permit 2
match ip address 101
set interface Serial1/1
!
tacacs-server host 213.155.46.2
tacacs-server timeout 20
snmp-server community public RW 15
!
line con 0
line 65 80
exec-timeout 0 0
modem InOut
modem autoconfigure discovery
transport input all
autoselect during-login
autoselect ppp
stopbits 1
flowcontrol hardware
line 97 112
exec-timeout 0 0
modem Dialin
modem autoconfigure discovery
transport input all
autoselect during-login
autoselect ppp
stopbits 1
flowcontrol hardware
line aux 0
line vty 0 4
password 7 0132352C6F2227F
login authentication NO-TAC
telnet speed 9600 38400
!
end

انشالله از فردا با كمك همه اين همه دستورات عجيب غريب رو بررسي مي كنيم.
از همه دوستان كه استاد بنده هستن بخصوص آقا كوروش كمك مي خوام
 

aryagohar

کاربر تازه وارد
service password-encryption
اين دستور باعث تغيير تمام پسورد هاي موجود در سيستم شده و اونها رو به حال رمز در مياره
!
hostname 3662
اسم سيستم مورد نظر رو اعلام مي كنه

aaa new-model
aaa authentication login NO-TAC line
aaa authentication ppp default local group tacacs+
aaa authorization network default if-authenticated
aaa accounting nested
aaa accounting update newinfo
aaa accounting exec default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+

كليدي ترين تنظيمات براي نصب يه Access-Server
تا اينجا رو داشته باشين اين قسمت توضيحات كامل نياز داره
اطلاعات كامل تر http://www.cisco.com/en/US/products/sw/iosswrel/ps1830/products_feature_guide09186a0080087a05.html
 

i_am_so_kittle

کاربر تازه وارد
TACACS (Terminal Access Controller Access Control System) يكي از پروتكلهاي قديمي ولي رايج authentication در شبكه هاي مبتني بر يونيكس است كه كارش فرستادن پسورد logon ازطريق سرور به authentication server است.
TACACS با +TACACS فرق داره.و امنيت TACACS از +TACACS كمتر است.

+TACACS و RADIUS جايگزين پروتكل هاي قديمي شدند.

+TACACS از TCP استفاده ميكنه ولي RADIUS از UDP.

بعضي از افراد از +TACACS استفاده مي كنند و علتشون هم اينكه TCP پروتكل قابل اعتمادتر و معتبرتري هست.

RADIUS عمل authentication , authorizaton رو در قالب يك user profile تركيب مي كنه ولي +TACACS اين دو تا عمل رو از هم جدا ميكنه.
 

aryagohar

کاربر تازه وارد
aaa new-model
تنظيمات رو به مود Global تغيير ميده.
aaa authentication login NO-TAC line
تو اين خط ما ارتباط به روتر رو به گروه NO-TAC كه گروهي هست كه خودمون تعريف كرديم داديم . به اين معني كه اعتبار سنجي دسترسي به خط فرمان روتر از طيق اين گروه انجام بشه. البته شما مي تونيد اين رو هم به عهده سرور خودتون بزاريد با تغيير به صورت AAA Authentication login default local group tacacs اين نحوه پيشنهاد نمي شه . عبارت Local نشون دهنده اينه كه كاربر ها تعريف شده در روتر هم در امر اعتبار سنجي مورد توجه قرار بگيره براي مواقعي خوبه كه سرورتون از كار افتاده باشه يا ارتباطش با روتر قطع باشه.
aaa authentication ppp default local group tacacs+
چك كردن كاربرهايي كه از طريق اين پروتكل مي خوان ارتباط برقرار كنن به عهده سرور مي گزاره.
aaa authorization network default if-authenticated
در مورد حق دسترسي بعد از اينكه اعتبار سنجي انجام شد تصميم گيري مي كنه و اونو منوط به Authenticated بودن مي كنه.
aaa accounting nested
اين كارو انجام ميده When starting PPP from EXEC, generate NETWORK records before
EXEC-STOP record.
aaa accounting update newinfo
نسبت به تازه سازي اطلاعات مربوط به اكانتيك در هنگامي كه كاربر جديد مي لاگه اقدام مي كنه البته ميشه اونو بصورت پريوديك هم تعريف كرد.
aaa accounting exec default start-stop group tacacs+
در موارد دستيابي كاربري به پوسته روتر (shell) نسبت به ارسال پاكت هاي اكانتينگ به سرور اقدام ميكنه.
aaa accounting network default start-stop group tacacs+
ارسال پاكتهاي مربوط به مراحل اكانتينگ كاربراني كه از سرويسهاي شبكه (PPP, SLIP, ARAP) استفاده مي كنند مي كنه
 

aryagohar

کاربر تازه وارد
كجا بوديم آها
ip rcmd rsh-enable
ip rcmd remote-host system 213.155.46.2 system enable
دستورات يعني چه
RCMD مخفف Remote Command هست و از يونيكس به ارث رسيده. (خودمونيم اين يونيكس هم چه چيز خفني بوده و هست)
RSH=Remote Shell
اينها رو گفتي كارشون چيه. خط اول مياد و پذيرش فرمانهاي راه دور رو روتر فعال ميكنه.
خط دوم مي گه آقا روتر خنگ اين سرور با اين IP اين دستور ها رو برات مي فرسته حواست جمع باشه.
از اين دستورات براي Sync كردن Kill كردن و خلاصه هر دستوري كه بلا سر مشتري بد بخت مياره استفاده مي كنن.
 

shana

کاربر تازه وارد
ميشه يه سوالي مربوط به دستور ip rcmd rsh-enable بکنم؟

این دستور با این اوصاف چه فرقی با تلنت با سطح دسترسی 1-15 داره؟

که هر سطح دسترسی می تونه کامندهای بخصوصی رو دسترسی داشته باشه ؟
 

i_am_so_kittle

کاربر تازه وارد
با اجازه آقا رضا

ip wccp version 1 , همون Web Cache Control Protocol)wccp) با version 1 رو توي روتر فعال ميكنه.

ip wccp web-cache redirect-list 150 اين خط كارش اينكه فقط به پكتهايي كه توي ليست 150 تعريف شدند اجازه redirect شدن رو ميده.

اين هم همون access-list150:

access-list 150 permit tcp 217.219.93.0 0.0.0.255 any eq www
access-list 150 permit tcp 213.155.46.0 0.0.0.255 any eq www


ip wccp web-cache redirect out اين خط هم روتر رو مجبور ميكنه كه كل ترافيك خروجي روي سريالهاي روتر رو به روي cache بفرسته.
 

i_am_so_kittle

کاربر تازه وارد
چاكريم آقا رضا :)

ip name-server 195.146.32.1
ip name-server 195.146.32.65
195.146.32.2ip name-server
ip name-server 195.146.32.66
ip name-server 192.9.9.3
این همه کامند فقط dns های مختلف رو توی سرور تنظیم می کنه که اگه یکیش قات زد روتر از بعدی استفاده کنه.

interface FastEthernet0/0
ip address 217.219.93.1 255.255.255.0
به کارت ethernet0/0 یک ip اختصاص میدیم.

جهت اعمال یک سری از محدودیتها بر روی کارت ethernet0/0 یک access-group با نام 121 تعریف می کنیم.
In ,out نشانه ترافیک ورودی و خروجی روی روتر هست.
البته شرایط و ضوابط اون access-group توی پایین command ها هست. مثل:
access-list 121 deny tcp any any eq 4444
و....

بعد به کامندی بر میخوریم که لازم هست اونو جداگونه بحث کنیم
یعنی اعمال route-map توی روتر

ip policy route-map ptt
در حقیقت یک route-map به نام ptt توی interface FastEthernet0/0 اعمال می کنه.البته اگه دقت کنین میبنین که در اینترفیسهای دیگه هم اعمال شده.
واسه اینکه بحث route-map ناقص نمونه مجبوریم یه دور قمری بزنیم بریم آخرهای command

route-map ptt permit 2
یک روتینگ جدید ایجاد می کنه.

match ip address 101
با این گزینه میگیم که فقط به ip هایی که توی access-list 101 تعریف شدن اجازه permit شدن بده
acess-list 101 رو هم بصورت زیر آقا رضا تعریف کرده:

access-list 101 permit ip 213.155.46.0 0.0.0.255 any
فکر نکنم خود این access-list نیازی به توضیح داشته باشه.

set interface Serial1/1
در حقیقت هر ip که داخل access-list 101 موجود باشه به این کامند میرسه.
واین کامند باعث میشه که هر ترافیکی که شامل access-list باشه به سریال 1/1 فرستاده بشه.
 

aryagohar

کاربر تازه وارد
آخه جواب شما خيلي واضحه. اصلا شما نگاه بكن چي پرسيدي؟
telnet يه چيز ديگست .
Remote command فرمان دادن از راه دوره و telnet دسترسي از راه دور.
 

shana

کاربر تازه وارد
شايد سوال من خيلي احمقانه باشه

منتها مگه نمي شه از تلنت به روتر فرمان داد؟؟؟؟


فكر مي كنم درست تر اينه كه بگيم بدون دسترسي مستقيم


حالا چه برنامه اي اين كارو مي كنه و ساير جزييات ؟؟؟؟(ببخشيد تو اين بخش وقفه ايجاد كردم)
 

aryagohar

کاربر تازه وارد
دستور به چي؟ از طريق تل نت شما دسترسي داريد و بعد از هاست داريد و توانايي ايجاد تغيير دادن در تنظيمات يا هر چيز ديگه اي رو در صورت Authorized بودن داريد ولي . Remote command فقط ارسال دستور از راه دور هست حالا هاست مختار به رعايت كردن يا رعايت نكردن هست و شما هيچ كنترلي روش نداريد. در مرود برنامه منظورتون رو روشنتر بيان كنيد
 

shana

کاربر تازه وارد
تقريبا يه چيزايي دستگيرم شد
اگه اشتباه نكنم به اين صورت باشه كه مثلا براي كيل كردن بعضي يوزر نيم و پسوردها اين كامند مي تونه كاربرد داشته باشه كه از طرف اكانت سرور دستور به روتر بده
منتها مي تونه هر كاري انجام بده؟؟ يا محدوديت داره ؟؟؟
 

a_arabbeigi

Registered User
ارياگوهر جون سلام
اقا داشتيم ار اين طرفا رد مي شديم , چشممون به جمال اين Thread افتاد. گفتيم حيفه اين Thread ناقص بمونه.
به هر جال اگه مايل بودي و وقت داشتي و طلب هاتم وصول شده خوشحال ميشيم كه دوباره در اين Thread ببينيمت.

تا بعد ....
 
بالا