Topshiriq
2.4-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzish talab qilinadi;
Har bir kompyuter uchun IP manzilni sozlang va MAC manzillarni 2.2- rasmda ko`rsatilgandek aniqlang;
Kommutatorning har bir portlariga xavfsizlik ko`rsatkichlarini sozlang;
2.1-jadvalga yuqorida keltirilgan topshiriqlarni kiriting.
2.4-rasm. Tarmoq topologiyasi.
2.1-jadval
Qurilma
|
IP-manzil
|
МАС-manzil
|
Interfeys
|
Port rejimlari
|
Laptop0
|
192.168.1.1
|
00E0.F902.D683
|
Fa0
|
n/a
|
Laptop1
|
192.168.1.2
|
000B.BE9B.EE4A
|
Fa0
|
n/a
|
Laptop2
|
192.168.1.3
|
00D0.5819.04E3
|
Fa0
|
n/a
|
Laptop3
|
192.168.1.4
|
0004.9AB9.DAC2
|
Fa0
|
n/a
|
Laptop4
|
192.168.1.5
|
00D0.BAC2.8C58
|
Fa0
|
n/a
|
Laptop5
|
192.168.1.6
|
0000.0C6E.01E0
|
Fa0
|
n/a
|
SW1
|
N/A
|
N/A
|
Fa0/1
|
sticky
|
SW1
|
N/A
|
N/A
|
Fa0/2
|
mac-address
00D0.5819.04E3
|
SW1
|
N/A
|
N/A
|
Fa0/3
|
violation protect
|
SW1
|
N/A
|
N/A
|
Fa0/5-24
|
Shutdown
|
SW2
|
N/A
|
N/A
|
Fa0/1
|
restrict
|
SW2
|
N/A
|
N/A
|
Fa0/2
|
restrict
|
SW2
|
N/A
|
N/A
|
Fa0/3
|
Protect
|
SW2
|
N/A
|
N/A
|
Fa0/4
|
maximum 4
|
Ishni bajarish jarayoni
Manzillarimizni va mac addresslarni aniqlab olamiz
Switch#
Switch#show mac add
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0001.43c4.ca17 DYNAMIC Fa0/2
1 0001.64d4.2457 DYNAMIC Fa0/1
1 0090.2b5c.a401 DYNAMIC Fa0/3
Switch#
Switch(config)#int fa 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security mac-address 0001.64d4.2457
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#exit
Ishni bajarish tartibi
Switch>enable
Switch#configure terminal Switch(config)#hostname Sw1 Sw1(config)#interface fa0/1
Portni access rejimiga o`zgartirish
Sw1(config-if)#switchport mode access
Portda port-securityni ishga tushurish
Sw1 (config-if)#switchport port-security
Secure-MAC ni dinamik aniqlashni ko`rsatish
Sw1 (config-if)#switchport port-security mac-address sticky Sw1 (config-if)#exit
Secure-MAC ni statik aniqlashni ko`rsatish
Sw1(config)#interface fastEthernet 0/2 Sw1(config-if)#switchport mode access Sw1(config-if)#switchport port-security
Sw1(config-if)#switchport port-security mac-address 000B.BE9B.EE4A Sw1(config-if)#end
Xavfsizlik buzilishigi javob berish rejimini sozlash
Sw1(config)#interface fastEthernet 0/3 Sw1(config-if)#switchport mode access Sw1(config-if)#switchport port-security
Sw1(config-if)#switchport port-security mac-address sticky Sw1(config-if)#switchport port-security violation protect Sw1(config-if)#end
Ishlatilmayotgan portlarni o`chirish
Sw1(config)#interface range fastEthernet 0/5-24 Sw1(config-if-range)#shutdown
Portda secure-MAC maksimal soni N ni ko`rsatish (Bu buyruq Sw2 kommutatorga tavsiya etiladi)
Switch>enable Switch#configure terminal Switch(config)#hostname Sw2 Sw2(config)#interface fa0/4
Sw2(config-if)#switchport mode trunk
Sw2(config-if)#switchport port-security maximum 4 Sw1(config-if)#switchport port-security violation restrict
Natijani tekshirish
Switch#show port-security interface fa 0/1 Port Security : Enabled
Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1
Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0
Last Source Address:Vlan : 0001.63B4.E4A6:1 Security Violation Count : 0
Sozlamalarni saqlash
Switch#copy running-config startup-config
Topshiriq
Har bir talaba yuqorida keltirilgan ma‘lumotlar bo`yicha Cisco Packet tracer muhitida laboratoriya ishini bajaradi.
Nazorat savollari
MAC-manzil bu nima va qurilmalarda qanday aniqlanadi?
Kommutatorda port xavfsizligi funksiyasini nima uchun ishlatiladi?
Secure-MAC maksimal sonini N qaysi holatlarda ishlatiladi?
Port security asosiy atributalari keltiring.
Kommutatorning xavfsizligini ta`minlashning yana qanday chorlarini bilasiz ?
3-laboratoriya ishi
Mavzu: Tarmoq qurilmalari xavfsizligini tahlil qilish
Ishdan maqsad: Cisco kommutatorlarida va marshrutizatorlarida parolni olib tashlash (сброс) bo`yicha amaliy ko`nikmalar olish
Qisqacha nazariy ma`lumotlar
Qurilma sozlamalariga kirish uchun kerak bo`ladigan parolning yo`qotilishi yoki unutilish holatlari tez-tez uchrab turadi. Ushbu laboratoriya ishida Cisco kommutatorlari va marshrutizatorlarida parollarni olib tashlash (Сброс) jarayoni ko`rib chiqiladi.
Quyida keltiriladigan usullar qurilmaga to`g`ridan-to`g`ri konsol kabel orqali ulanishni ko`zda tutadi. Shuning uchun ham qurilma joylashgan xonaga faqat kirish huquqiga ega foydalanuvchilar kirishi, xavfsizlik nuqtai nazaridan e`tiborga olinishi kerak. Ushbu metodikalarning mohiyati quyidagicha: paroli unutilgan yoki yo`qolgan konfiguratsion faylsiz qurilmaning sozlamalariga imtiyozli rejimda (Privileged EXEC) kirish va konfiguratsion faylni almashtirish orqali barcha parollarni o`zgartirish.
Cisco marshrutizatorlarida parolni tashlab yuborish
Cisco marshrutizatorlarida parolni tashlab yuborish uchun qurilmaga fizik kira olish kerak, ya`ni konsol kabel orqali ulanish imkoniyati bo`lishi kerak. Marshrutizatorda konfiguratsion registr mavjud bo`lib, ushbu registr marshrutizatorning ishga tushishini boshqaradi va uning qiymatlari energiya talab qiluvchi xotirada saqlanadi.
Configuration register – bu marshrutizatorning ishga tushishi ketma- ketligiga javob beruvchi NVRAM da joylashgan 16 bitli registr. Ya`ni marshrutizatorga operatsion tizimni va sozlanish fayllarini qaysi tartibda va
qayerdan olishini ko`rsatib beradi. Uning odatiy qiymati – 2102. Qiymatning uchinchi raqami sozlanish fayliga, to`rtinchi raqami esa operatsion tizimga javob beradi. Parollar unitilishi yoki yo`qolishi holatlarida uchinchi raqamni ―4‖ raqamga o`zgartirish kerak bo`ladi.
Ko`pchilik marshrutizatorlarda konfiguratsion registrning qiymati – 0x2102 bo`ladi.
Agar Cisco marshrutizatoriga kirish huquqi bor bo`lsa, unda konfiguratsion registrning qiymatini quyidagicha tekshirsa bo`ladi:
Oxirgi qator konfiguratsion registr qiymatini o`z ichiga olgan bo`ladi. Endi unutilgan parolni o`zgartirish jarayoni bosqichma-bosqich ko`rib chiqiladi.
Birinchi navbatda marshrutizatorga konsol kabel (3.1-rasm.) orqali ulanish lozim (Rollover deb ham nomlanadi).
3.1-rasm. Konsol kabelining ko`rinishi.
Konsol orqali ulaniladi va keyingi jarayonlarning barchasi konsol port orqali amalga oshiriladi (3.2-rasm).
3.2-rasm. Kompyuterning kommutator qurilmasiga Console kabeli yordamida
ulanishi
Xizmat ko`rsatish maqsadlarida ishlatiladigan – ROMMON rejimida marshrutizator elektr energiyasi manbasidan o`chiriladi va qayta ishga tushiriladi (3.3-rasm).
3.3-rasm. Cisco Packet tracer muhitida Router qurilmasining elektr ta‘minotini o`chirib/yoqish tugmasi
Marshrutizatorni ROMMON rejimida qayta ishga tushurish uchun odatiy boshlang`ich IOS ishga tushish jarayoni to`xtatiladi, buni amalga oshirish terminalga bog`liq. Masalan, hyperterminalda – ―Ctrl-Break‖, teratermda – ―Alt- B‖, Cisco Packet Tracer emulyatorida – ―Ctrl-Break‖ va h.k.
Qurilmaga ulanib, u qayta ishga tushiriladi va IOS ishga tushirilishida Ctrl+Break tugmalari qo`shilib bosiladi:
Shu tarzda, ROMMON (ROM monitor) rejimiga kiriladi. Bu yerda konfiguratsiya registri confreg 0x2142 buyrug`i bilan o`zgartiriladi, natiyjada marshrutizator Flash xotiraga yozilgan konfiguratsion faylni ishga tushirilishida ishlatmaydi. Bundan keyin reset buyrug`ini kiritish orqali marshrutizator qayta ishga tushiriladi.
Endi marshrutizator konfiguratsion faylsiz ishga tushadi va eski
konfiguratsion faylni tiklash maqsadida quyidagi imtiyozli rejimda copy startup- config running-config buyrug`i orqali amalga oshiriladi.
Bundan keyin paroli unutilgan eski konfiguratsiya qo`yiladi, lekin bu yerda imtiyozli rejimda turganligi uchun eski parolni yangisiga o`zgartirsa bo`ladi.
Parollar o`zgartirildi, endi konfiguratsion registrning eski qiymatini qayta joyiga qo`yish kerak, buning uchun config-register 0x2102 buyrug`i kiritiladi
Bundan keyin yangi konfiguratsiya saqlanadi va marshrutizator qayta ishga
tushiriladi
Router1#copy running-config startup-config Router1#reload
Marshrutizator qayta ishga tushirilgach, yangi parollar bilan saqlangan
konfiguratsion faylni o`ziga oladi. Yana, no service password-recovery buyrug`ini ishlatish orqali parol tashlab yuborilishi imkoniyatini o`chirib qo`ysa bo`ladi, buning uchun yuqorida ta`kidlanganidek qurilmaga fizik kirish imkoniyati kerak.
Do'stlaringiz bilan baham: |