Целью данной лабораторной работы является настройка базовых параметров безопасности для коммутаторов Cisco. При выполнении будет использоваться Cisco Packet Tracer 5.3. После выполнения лабораторной работы будут получены необходимые в рамках курса Cisco CCNA знания по базовым командам для настройки параметров безопасности, а также закреплены навыки конфигурации оборудования Cisco.
Используемая топология сети
1. Защита комплексным паролем для console, vty и ENABLE Mode
2. Установка шифрования для паролей
3. Установка текста приветствия. ( Эта часть важна с юридической точки зрения )
4. Установка параметров безопасности для портов доступа.
5. Проверка параметров безопасности для портов доступа
5. Проверка параметров безопасности для портов доступа
1. Защита комплексным паролем для console, vty и ENABLE Mode
Switch>enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#enable secret Ci$C0
Switch(config)#line console 0
Switch(config-line)#password Ci$C0
Switch(config-line)#login
Switch(config-line)#exit
Switch(config)#line vty 0 15
Switch(config-line)#password Ci$C0
Switch(config-line)#login
Switch(config-line)#exit
Switch(config)#
2. Установка шифрования для паролей
Switch(config)#service password-encryption
3. Установка текста приветствия. ( Эта часть важна с юридической точки зрения )
Switch(config)#banner motd &Authorized Access Only&
4. Установка параметров безопасности для портов доступа.
Switch(config)#interface range f0/1 - 24
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport port-security
Switch(config-if-range)#switchport port-security maximum 1
Switch(config-if-range)#switchport port-security mac-address sticky
Switch(config-if-range)#switchport port-security violation shutdown
5. Проверка параметров безопасности для портов доступа
Switch(config)#interface Vlan1
Switch(config-if)#ip address 172.17.1.1 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#end
Для того, чтобы MAC-адрес PC1 попал в таблицу нужно на нем выполнить ping 172.17.1.1
Switch#show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 0001.432A.17B3:1
Security Violation Count : 0
Switch#show mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0001.432a.17b3 STATIC Fa0/1
Switch#show interface f0/1
FastEthernet0/1 is up, line protocol is up (connected)
Hardware is Lance, address is 00d0.ff19.bb01 (bia 00d0.ff19.bb01)
BW 100000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
--------------остальная часть вывода обрезана-------------------------------
Switch#show running-config
--------------остальная часть вывода обрезана-------------------------------
!
interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0001.432A.17B3
!
--------------остальная часть вывода обрезана-------------------------------
Подключаем к порту f0/1 PC2
Для того, чтобы MAC-адрес PC2 попал в таблицу нужно на нем выполнить ping 172.17.1.1
Switch#show interfaces f0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)
Hardware is Lance, address is 00d0.ff19.bb01 (bia 00d0.ff19.bb01)
BW 100000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
--------------остальная часть вывода обрезана-------------------------------
Switch#show port-security interface fa0/1
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 0000.0C60.2B18:1
Security Violation Count : 1
Восстанавливаем подключение PC1 к порту f0/1 коммутатора и восстанавливаем рабочее состояние интерфейса.
Switch#configure terminal
Switch(config)#interface f0/1
Switch(config-if)#shutdown
Switch(config-if)#no shutdown
Проверяем работоспособность интерфейса командой ping 172.17.1.1 с PC1
2 комментария:
Для того чтобы вывести интерфейс из состояни err-dis нужно не только sh no sh инт, а еше выполнить команду clear port-security sticky interfaсe.
Есть некоторые отличия поведения интерфейсов на настоящем оборудовании Cisco и на эмулируемом в Cisco Packet Tracer. Это как раз тот случай.
Отправить комментарий