4 декабря 2010 г.

Лабораторная работа №20 Configure Switch Security курса CISCO CCNA 640 - 802

Лабораторная работа CCNA Cisco Packet Tracer
Целью данной лабораторной работы является настройка базовых параметров безопасности для коммутаторов Cisco. При выполнении будет использоваться Cisco Packet Tracer 5.3. После выполнения лабораторной работы будут получены необходимые в рамках курса Cisco CCNA знания по базовым командам для настройки параметров безопасности, а также закреплены  навыки  конфигурации оборудования Cisco

  
Используемая топология сети
Лабораторная работа CCNA Cisco Packet Tracer

1. Защита комплексным паролем для console, vty и ENABLE Mode
2. Установка шифрования для паролей 
3. Установка текста приветствия. ( Эта часть важна с юридической точки зрения )  
4. Установка параметров безопасности для портов доступа.
5. Проверка параметров безопасности для портов доступа 

1. Защита комплексным паролем для console, vty и ENABLE Mode

Switch>enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#enable secret Ci$C0
Switch(config)#line console 0
Switch(config-line)#password Ci$C0
Switch(config-line)#login
Switch(config-line)#exit
Switch(config)#line vty 0 15
Switch(config-line)#password Ci$C0
Switch(config-line)#login
Switch(config-line)#exit
Switch(config)#

2. Установка шифрования для паролей 
Switch(config)#service password-encryption

3. Установка текста приветствия. ( Эта часть важна с юридической точки зрения )
Switch(config)#banner motd &Authorized Access Only&

4. Установка параметров безопасности для портов доступа.


Switch(config)#interface range f0/1 - 24
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport port-security
Switch(config-if-range)#switchport port-security maximum 1
Switch(config-if-range)#switchport port-security mac-address sticky
Switch(config-if-range)#switchport port-security violation shutdown

5. Проверка параметров безопасности для портов доступа 


Switch(config)#interface Vlan1
Switch(config-if)#ip address 172.17.1.1 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#end  


Для того, чтобы MAC-адрес  PC1 попал в таблицу нужно на нем выполнить ping 172.17.1.1

Switch#show port-security interface f0/1
Port Security :                            Enabled
Port Status :                               Secure-up
Violation Mode :                       Shutdown

Aging Time :                                0 mins
Aging Type :                                Absolute
SecureStatic Address Aging :       Disabled
Maximum MAC Addresses :   1
Total MAC Addresses :               1
Configured MAC Addresses :      0
Sticky MAC Addresses :             1
Last Source Address:Vlan :      0001.432A.17B3:1
Security Violation Count :         0



Switch#show mac-address-table
                      Mac Address Table
     -------------------------------------------

Vlan           Mac              Address       Type Ports
----        -----------         --------            -----

   1    0001.432a.17b3    STATIC           Fa0/1

Switch#show interface f0/1
FastEthernet0/1 is up, line protocol is up (connected)
    Hardware is Lance, address is 00d0.ff19.bb01 (bia 00d0.ff19.bb01)
   BW 100000 Kbit, DLY 1000 usec,
           reliability 255/255, txload 1/255, rxload 1/255
     Encapsulation ARPA, loopback not set
--------------остальная часть вывода обрезана-------------------------------

Switch#show running-config

--------------остальная часть вывода обрезана-------------------------------
!
interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0001.432A.17B3
!
--------------остальная часть вывода обрезана-------------------------------

Подключаем к порту f0/1 PC2 





Для того, чтобы MAC-адрес  PC2 попал в таблицу нужно на нем выполнить ping 172.17.1.1 

Switch#show interfaces f0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)
    Hardware is Lance, address is 00d0.ff19.bb01 (bia 00d0.ff19.bb01)
    BW 100000 Kbit, DLY 1000 usec,
           reliability 255/255, txload 1/255, rxload 1/255
     Encapsulation ARPA, loopback not set
--------------остальная часть вывода обрезана-------------------------------

Switch#show port-security interface fa0/1
Port Security :                            Enabled
Port Status :                             Secure-shutdown
Violation Mode :                        Shutdown
Aging Time :                               0 mins
Aging Type :                               Absolute
SecureStatic Address Aging :      Disabled
Maximum MAC Addresses :       1
Total MAC Addresses :              1
Configured MAC Addresses :     0
Sticky MAC Addresses :            1
Last Source Address:Vlan :     0000.0C60.2B18:1
Security Violation Count :        1


Восстанавливаем подключение PC1 к порту f0/1 коммутатора и восстанавливаем рабочее состояние интерфейса.

Switch#configure terminal
Switch(config)#interface f0/1
Switch(config-if)#shutdown
Switch(config-if)#no shutdown

Проверяем работоспособность интерфейса командой ping 172.17.1.1 с PC1

2 комментария:

Анонимный комментирует...

Для того чтобы вывести интерфейс из состояни err-dis нужно не только sh no sh инт, а еше выполнить команду clear port-security sticky interfaсe.

Dave комментирует...

Есть некоторые отличия поведения интерфейсов на настоящем оборудовании Cisco и на эмулируемом в Cisco Packet Tracer. Это как раз тот случай.

Отправить комментарий