آژانس هواپیماییfootbal
nexpay

تحليل كامل دستورات و تنظيمات روتر

شروع موضوع توسط aryagohar ‏20 فوریه 2004 در انجمن شبکه

  1. aryagohar

    aryagohar کاربر تازه وارد

    تاریخ عضویت:
    ‏31 جولای 2003
    نوشته ها:
    680
    تشکر شده:
    0
    محل سکونت:
    Iran
    سلام
    با اجازه دوستان از امروز مي خام شروع كنم به تحليل كامل دستورات و تنظيمات يك روتر
    براي همين تنظيمات يه 3662 رو انتخاب كردم كه در موردش بحث كنيم.اميدوارم دوستان خوب من كاري نكنن كه من از گذاشتن كامل تمام IP ها اينجا شرمنده بشم. :rolleyes:


    version 12.2
    service timestamps debug uptime
    service timestamps log uptime
    service password-encryption
    !
    hostname 3662
    !
    aaa new-model
    aaa authentication login NO-TAC line
    aaa authentication ppp default local group tacacs+
    aaa authorization network default if-authenticated
    aaa accounting nested
    aaa accounting update newinfo
    aaa accounting exec default start-stop group tacacs+
    aaa accounting network default start-stop group tacacs+
    enable secret 5 $1$1nNS$ism0xqaEycU/
    enable password 7 11584B
    !
    username myconf password 7 00071C080C
    username system privilege 15 password 7 00512055
    username payam password 7 060C454A
    username reza password 7 1416001203
    ip subnet-zero
    ip rcmd rsh-enable
    ip rcmd remote-host system 213.155.46.2 system enable
    ip wccp version 1
    ip wccp web-cache redirect-list 150
    !
    !
    ip name-server 195.146.32.1
    ip name-server 195.146.32.65
    ip name-server 195.146.32.2
    ip name-server 195.146.32.66
    ip name-server 192.9.9.3
    !
    async-bootp dns-server 213.155.46.2
    !
    !
    !
    interface FastEthernet0/0
    ip address 217.219.93.1 255.255.255.0
    ip access-group 121 in
    ip access-group 121 out
    ip policy route-map ptt
    duplex auto
    speed auto
    !
    interface FastEthernet0/1
    ip address 213.155.46.1 255.255.255.0
    ip access-group 121 out
    ip policy route-map ptt
    duplex auto
    speed auto
    !
    interface Serial1/0
    ip unnumbered FastEthernet0/0
    ip access-group 121 in
    ip access-group 121 out
    ip accounting output-packets
    ip wccp web-cache redirect out
    !
    interface Serial1/1
    ip unnumbered FastEthernet0/1
    ip access-group 121 out
    ip wccp web-cache redirect out
    no keepalive
    ignore-dcd
    !
    interface Serial1/2
    no ip address
    shutdown
    !
    interface Serial1/3
    no ip address
    shutdown
    !
    interface Group-Async1
    ip unnumbered FastEthernet0/1
    ip access-group 121 in
    ip access-group 121 out
    encapsulation ppp
    ip tcp header-compression passive
    ip policy route-map ptt
    async dynamic address
    async dynamic routing
    async mode interactive
    peer default ip address pool dialup
    ppp authentication chap pap
    group-range 65 80
    !
    interface Group-Async2
    ip unnumbered FastEthernet0/1
    ip access-group 121 in
    ip access-group 121 out
    encapsulation ppp
    ip tcp header-compression passive
    ip policy route-map ptt
    async mode interactive
    peer default ip address pool dialup
    ppp authentication pap chap
    group-range 97 112
    !
    ip local pool dialup 213.155.46.235 213.155.46.254
    ip classless
    ip route 0.0.0.0 0.0.0.0 Serial1/0
    no ip http server
    ip pim bidir-enable
    !
    access-list 7 permit 192.168.1.0 0.0.0.255
    access-list 7 permit 213.155.46.0 0.0.0.255
    access-list 101 permit ip 213.155.46.0 0.0.0.255 any
    access-list 121 deny tcp any any range 135 139
    access-list 121 deny tcp any any eq 4444
    access-list 121 deny tcp any any eq 1434
    access-list 121 deny udp any any eq 1434
    access-list 121 deny tcp any any eq 445
    access-list 121 deny tcp any any eq 593
    access-list 121 deny udp any any range 995 999
    access-list 121 deny udp any any eq ntp
    access-list 121 permit ip any any
    access-list 122 deny icmp any any echo
    access-list 122 deny icmp any any echo-reply
    access-list 122 permit ip any any
    access-list 150 permit tcp 217.219.93.0 0.0.0.255 any eq www
    access-list 150 permit tcp 213.155.46.0 0.0.0.255 any eq www
    route-map ptt permit 2
    match ip address 101
    set interface Serial1/1
    !
    tacacs-server host 213.155.46.2
    tacacs-server timeout 20
    snmp-server community public RW 15
    !
    line con 0
    line 65 80
    exec-timeout 0 0
    modem InOut
    modem autoconfigure discovery
    transport input all
    autoselect during-login
    autoselect ppp
    stopbits 1
    flowcontrol hardware
    line 97 112
    exec-timeout 0 0
    modem Dialin
    modem autoconfigure discovery
    transport input all
    autoselect during-login
    autoselect ppp
    stopbits 1
    flowcontrol hardware
    line aux 0
    line vty 0 4
    password 7 0132352C6F2227F
    login authentication NO-TAC
    telnet speed 9600 38400
    !
    end

    انشالله از فردا با كمك همه اين همه دستورات عجيب غريب رو بررسي مي كنيم.
    از همه دوستان كه استاد بنده هستن بخصوص آقا كوروش كمك مي خوام
     
  2. aryagohar

    aryagohar کاربر تازه وارد

    تاریخ عضویت:
    ‏31 جولای 2003
    نوشته ها:
    680
    تشکر شده:
    0
    محل سکونت:
    Iran
    service password-encryption
    اين دستور باعث تغيير تمام پسورد هاي موجود در سيستم شده و اونها رو به حال رمز در مياره
    !
    hostname 3662
    اسم سيستم مورد نظر رو اعلام مي كنه

    aaa new-model
    aaa authentication login NO-TAC line
    aaa authentication ppp default local group tacacs+
    aaa authorization network default if-authenticated
    aaa accounting nested
    aaa accounting update newinfo
    aaa accounting exec default start-stop group tacacs+
    aaa accounting network default start-stop group tacacs+

    كليدي ترين تنظيمات براي نصب يه Access-Server
    تا اينجا رو داشته باشين اين قسمت توضيحات كامل نياز داره
    اطلاعات كامل تر http://www.cisco.com/en/US/products/sw/iosswrel/ps1830/products_feature_guide09186a0080087a05.html
     
  3. i_am_so_kittle

    i_am_so_kittle کاربر تازه وارد

    تاریخ عضویت:
    ‏23 اکتبر 2003
    نوشته ها:
    74
    تشکر شده:
    0
    TACACS (Terminal Access Controller Access Control System) يكي از پروتكلهاي قديمي ولي رايج authentication در شبكه هاي مبتني بر يونيكس است كه كارش فرستادن پسورد logon ازطريق سرور به authentication server است.
    TACACS با +TACACS فرق داره.و امنيت TACACS از +TACACS كمتر است.

    +TACACS و RADIUS جايگزين پروتكل هاي قديمي شدند.

    +TACACS از TCP استفاده ميكنه ولي RADIUS از UDP.

    بعضي از افراد از +TACACS استفاده مي كنند و علتشون هم اينكه TCP پروتكل قابل اعتمادتر و معتبرتري هست.

    RADIUS عمل authentication , authorizaton رو در قالب يك user profile تركيب مي كنه ولي +TACACS اين دو تا عمل رو از هم جدا ميكنه.
     
  4. aryagohar

    aryagohar کاربر تازه وارد

    تاریخ عضویت:
    ‏31 جولای 2003
    نوشته ها:
    680
    تشکر شده:
    0
    محل سکونت:
    Iran
    aaa new-model
    تنظيمات رو به مود Global تغيير ميده.
    aaa authentication login NO-TAC line
    تو اين خط ما ارتباط به روتر رو به گروه NO-TAC كه گروهي هست كه خودمون تعريف كرديم داديم . به اين معني كه اعتبار سنجي دسترسي به خط فرمان روتر از طيق اين گروه انجام بشه. البته شما مي تونيد اين رو هم به عهده سرور خودتون بزاريد با تغيير به صورت AAA Authentication login default local group tacacs اين نحوه پيشنهاد نمي شه . عبارت Local نشون دهنده اينه كه كاربر ها تعريف شده در روتر هم در امر اعتبار سنجي مورد توجه قرار بگيره براي مواقعي خوبه كه سرورتون از كار افتاده باشه يا ارتباطش با روتر قطع باشه.
    aaa authentication ppp default local group tacacs+
    چك كردن كاربرهايي كه از طريق اين پروتكل مي خوان ارتباط برقرار كنن به عهده سرور مي گزاره.
    aaa authorization network default if-authenticated
    در مورد حق دسترسي بعد از اينكه اعتبار سنجي انجام شد تصميم گيري مي كنه و اونو منوط به Authenticated بودن مي كنه.
    aaa accounting nested
    اين كارو انجام ميده When starting PPP from EXEC, generate NETWORK records before
    EXEC-STOP record.
    aaa accounting update newinfo
    نسبت به تازه سازي اطلاعات مربوط به اكانتيك در هنگامي كه كاربر جديد مي لاگه اقدام مي كنه البته ميشه اونو بصورت پريوديك هم تعريف كرد.
    aaa accounting exec default start-stop group tacacs+
    در موارد دستيابي كاربري به پوسته روتر (shell) نسبت به ارسال پاكت هاي اكانتينگ به سرور اقدام ميكنه.
    aaa accounting network default start-stop group tacacs+
    ارسال پاكتهاي مربوط به مراحل اكانتينگ كاربراني كه از سرويسهاي شبكه (PPP, SLIP, ARAP) استفاده مي كنند مي كنه
     
  5. aryagohar

    aryagohar کاربر تازه وارد

    تاریخ عضویت:
    ‏31 جولای 2003
    نوشته ها:
    680
    تشکر شده:
    0
    محل سکونت:
    Iran
    بكمكيد دوستان من سوادم كمه. خراب كاري مي كنم.
     
  6. aryagohar

    aryagohar کاربر تازه وارد

    تاریخ عضویت:
    ‏31 جولای 2003
    نوشته ها:
    680
    تشکر شده:
    0
    محل سکونت:
    Iran
    كجا بوديم آها
    ip rcmd rsh-enable
    ip rcmd remote-host system 213.155.46.2 system enable
    دستورات يعني چه
    RCMD مخفف Remote Command هست و از يونيكس به ارث رسيده. (خودمونيم اين يونيكس هم چه چيز خفني بوده و هست)
    RSH=Remote Shell
    اينها رو گفتي كارشون چيه. خط اول مياد و پذيرش فرمانهاي راه دور رو روتر فعال ميكنه.
    خط دوم مي گه آقا روتر خنگ اين سرور با اين IP اين دستور ها رو برات مي فرسته حواست جمع باشه.
    از اين دستورات براي Sync كردن Kill كردن و خلاصه هر دستوري كه بلا سر مشتري بد بخت مياره استفاده مي كنن.
     
  7. panypay
  8. Ehsan225

    Ehsan225 کاربر تازه وارد

    تاریخ عضویت:
    ‏29 ژانویه 2004
    نوشته ها:
    20
    تشکر شده:
    0
    آقا ما داريم لذت ميبريم.
    دستت درست.
     
  9. shana

    shana کاربر تازه وارد

    تاریخ عضویت:
    ‏15 نوامبر 2003
    نوشته ها:
    67
    تشکر شده:
    0
    ميشه يه سوالي مربوط به دستور ip rcmd rsh-enable بکنم؟

    این دستور با این اوصاف چه فرقی با تلنت با سطح دسترسی 1-15 داره؟

    که هر سطح دسترسی می تونه کامندهای بخصوصی رو دسترسی داشته باشه ؟
     
  10. i_am_so_kittle

    i_am_so_kittle کاربر تازه وارد

    تاریخ عضویت:
    ‏23 اکتبر 2003
    نوشته ها:
    74
    تشکر شده:
    0
    با اجازه آقا رضا

    ip wccp version 1 , همون Web Cache Control Protocol)wccp) با version 1 رو توي روتر فعال ميكنه.

    ip wccp web-cache redirect-list 150 اين خط كارش اينكه فقط به پكتهايي كه توي ليست 150 تعريف شدند اجازه redirect شدن رو ميده.

    اين هم همون access-list150:

    access-list 150 permit tcp 217.219.93.0 0.0.0.255 any eq www
    access-list 150 permit tcp 213.155.46.0 0.0.0.255 any eq www


    ip wccp web-cache redirect out اين خط هم روتر رو مجبور ميكنه كه كل ترافيك خروجي روي سريالهاي روتر رو به روي cache بفرسته.
     
  11. aryagohar

    aryagohar کاربر تازه وارد

    تاریخ عضویت:
    ‏31 جولای 2003
    نوشته ها:
    680
    تشکر شده:
    0
    محل سکونت:
    Iran
    مهدي جون دستت درد نكنه. با هم مي ريم جلو.
     
  12. i_am_so_kittle

    i_am_so_kittle کاربر تازه وارد

    تاریخ عضویت:
    ‏23 اکتبر 2003
    نوشته ها:
    74
    تشکر شده:
    0
    چاكريم آقا رضا :)

    ip name-server 195.146.32.1
    ip name-server 195.146.32.65
    195.146.32.2ip name-server
    ip name-server 195.146.32.66
    ip name-server 192.9.9.3
    این همه کامند فقط dns های مختلف رو توی سرور تنظیم می کنه که اگه یکیش قات زد روتر از بعدی استفاده کنه.

    interface FastEthernet0/0
    ip address 217.219.93.1 255.255.255.0
    به کارت ethernet0/0 یک ip اختصاص میدیم.

    جهت اعمال یک سری از محدودیتها بر روی کارت ethernet0/0 یک access-group با نام 121 تعریف می کنیم.
    In ,out نشانه ترافیک ورودی و خروجی روی روتر هست.
    البته شرایط و ضوابط اون access-group توی پایین command ها هست. مثل:
    access-list 121 deny tcp any any eq 4444
    و....

    بعد به کامندی بر میخوریم که لازم هست اونو جداگونه بحث کنیم
    یعنی اعمال route-map توی روتر

    ip policy route-map ptt
    در حقیقت یک route-map به نام ptt توی interface FastEthernet0/0 اعمال می کنه.البته اگه دقت کنین میبنین که در اینترفیسهای دیگه هم اعمال شده.
    واسه اینکه بحث route-map ناقص نمونه مجبوریم یه دور قمری بزنیم بریم آخرهای command

    route-map ptt permit 2
    یک روتینگ جدید ایجاد می کنه.

    match ip address 101
    با این گزینه میگیم که فقط به ip هایی که توی access-list 101 تعریف شدن اجازه permit شدن بده
    acess-list 101 رو هم بصورت زیر آقا رضا تعریف کرده:

    access-list 101 permit ip 213.155.46.0 0.0.0.255 any
    فکر نکنم خود این access-list نیازی به توضیح داشته باشه.

    set interface Serial1/1
    در حقیقت هر ip که داخل access-list 101 موجود باشه به این کامند میرسه.
    واین کامند باعث میشه که هر ترافیکی که شامل access-list باشه به سریال 1/1 فرستاده بشه.
     
  13. shana

    shana کاربر تازه وارد

    تاریخ عضویت:
    ‏15 نوامبر 2003
    نوشته ها:
    67
    تشکر شده:
    0
    راستي جواب سوال منو كسي نمي خواد بده؟؟؟؟؟/؟
     
  14. avajang.com .left
  15. aryagohar

    aryagohar کاربر تازه وارد

    تاریخ عضویت:
    ‏31 جولای 2003
    نوشته ها:
    680
    تشکر شده:
    0
    محل سکونت:
    Iran
    آخه جواب شما خيلي واضحه. اصلا شما نگاه بكن چي پرسيدي؟
    telnet يه چيز ديگست .
    Remote command فرمان دادن از راه دوره و telnet دسترسي از راه دور.
     
  16. shana

    shana کاربر تازه وارد

    تاریخ عضویت:
    ‏15 نوامبر 2003
    نوشته ها:
    67
    تشکر شده:
    0
    شايد سوال من خيلي احمقانه باشه

    منتها مگه نمي شه از تلنت به روتر فرمان داد؟؟؟؟


    فكر مي كنم درست تر اينه كه بگيم بدون دسترسي مستقيم


    حالا چه برنامه اي اين كارو مي كنه و ساير جزييات ؟؟؟؟(ببخشيد تو اين بخش وقفه ايجاد كردم)
     
  17. aryagohar

    aryagohar کاربر تازه وارد

    تاریخ عضویت:
    ‏31 جولای 2003
    نوشته ها:
    680
    تشکر شده:
    0
    محل سکونت:
    Iran
    دستور به چي؟ از طريق تل نت شما دسترسي داريد و بعد از هاست داريد و توانايي ايجاد تغيير دادن در تنظيمات يا هر چيز ديگه اي رو در صورت Authorized بودن داريد ولي . Remote command فقط ارسال دستور از راه دور هست حالا هاست مختار به رعايت كردن يا رعايت نكردن هست و شما هيچ كنترلي روش نداريد. در مرود برنامه منظورتون رو روشنتر بيان كنيد
     
  18. i_am_so_kittle

    i_am_so_kittle کاربر تازه وارد

    تاریخ عضویت:
    ‏23 اکتبر 2003
    نوشته ها:
    74
    تشکر شده:
    0
  19. shana

    shana کاربر تازه وارد

    تاریخ عضویت:
    ‏15 نوامبر 2003
    نوشته ها:
    67
    تشکر شده:
    0
    تقريبا يه چيزايي دستگيرم شد
    اگه اشتباه نكنم به اين صورت باشه كه مثلا براي كيل كردن بعضي يوزر نيم و پسوردها اين كامند مي تونه كاربرد داشته باشه كه از طرف اكانت سرور دستور به روتر بده
    منتها مي تونه هر كاري انجام بده؟؟ يا محدوديت داره ؟؟؟
     
  20. shana

    shana کاربر تازه وارد

    تاریخ عضویت:
    ‏15 نوامبر 2003
    نوشته ها:
    67
    تشکر شده:
    0
    چرا اين بخش ادامه پيدا نمي كنه؟
     
  21. aryagohar

    aryagohar کاربر تازه وارد

    تاریخ عضویت:
    ‏31 جولای 2003
    نوشته ها:
    680
    تشکر شده:
    0
    محل سکونت:
    Iran
    چون الان شديدا من دنبال جمع كردن طلب هام هستم
     
  22. a_arabbeigi

    a_arabbeigi Registered User

    تاریخ عضویت:
    ‏11 فوریه 2004
    نوشته ها:
    125
    تشکر شده:
    0
    محل سکونت:
    Esfahan
    ارياگوهر جون سلام
    اقا داشتيم ار اين طرفا رد مي شديم , چشممون به جمال اين Thread افتاد. گفتيم حيفه اين Thread ناقص بمونه.
    به هر جال اگه مايل بودي و وقت داشتي و طلب هاتم وصول شده خوشحال ميشيم كه دوباره در اين Thread ببينيمت.

    تا بعد ....
     

این صفحه را با دیگران به اشتراک بگذارید

خرید بک لینکreviews عسل طبیعی و گرده گل ایرانی