O’ZBEKISTON RESPUBLIKASI AXBOROT TEXNOLOGIYALARI VA KOMMUNIKATSIYALARINI RIVOJLANTIRISH VAZIRLIGI MUHAMMAD AL-XORAZMIY NOMIDAGI
TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI QARSHI FILIALI
KOMPYUTER INJINIRING FAKULTETI
KI-14-20 guruh talabasining
3.1-LABARATORIYA ISH
Mavzu: CISCO PACKET TRACER DASTURIDA PORT HAVFSIZLIGINI
TA`MINLASH
Bajardi:Eshboyev Xumoyun Xushvaqt og’li
Mavzu: CISCO PACKET TRACER DASTURIDA PORT HAVFSIZLIGINI
TA`MINLASH
Ishdan maqsad : Cisco Packet Tracer dasturida kommutatorning port havfsizligini funksiyasi bilan tanishish va amaliy ko`nikmalarga ega bo`lish .
Nazariy qism.
Port xavfsizligi - Cisco catalyst kommutatorlari tavsifi va ularni sozash
Port xavfsizligi
Cisco catalyst kommutatorlarida foydalanish kerak
bo'lgan xususiyatdir. Ethernet freymlari tugmachadan o'tib , MAC manzil jadvalini ushbu freymlarda ko'rsatilgan yuboruvchi manzilidan foydalanib to'ldiradi . Ushbu jadvalning maksimal hajmi cheklangan, tajovuzkor uchun uni to'ldirish qiyin bo'lgani kabi qiyin emas, tasodifiy qaytish manzillari bilan ko'plab freymlarni yaratadigan maxsus dasturlardan foydalanish kifoya.
Nega sizga kerak bo'lishi mumkin? MAC-manzil jadvali to'lib toshgan
taqdirda, kommutator markaz vazifasini bajarishi mumkin - ya'ni barcha qabul
qilingan kadrlarni barcha portlarga yuborish. Hujumchining keyingi harakati -
snaynerni ishga tushirish Bizning switch vahima holatida buyon, barcha kiruvchi
paketlarni ko'rish uchun dastur, va tajovuzkor ning portiga bir xil VLAN unga
o'tib, barcha paketlari ko'rinadigan bo'ladi tajovuzkor . Bunday vaziyatni oldini
olish uchun siz port xavfsizligi barcha kommutatorlarda ishlashiga oldindan e'tibor
berishingiz kerak .
Ushbu funktsiyaning mohiyati nimada: u yoki bu tarzda har bir port uchun
unda paydo bo'lishi mumkin bo'lgan MAC-manzillar ro'yxati (yoki raqami)
cheklangan, agar portda juda ko'p manzillar ko'rinadigan bo'lsa, u holda port
o'chadi. Shunday qilib, ko'rish qiyin emasligi sababli tasodifiy qaytish manzillari bilan freymlarni yaratish g'oyasi tezda muvaffaqiyatsiz bo'ladi.
MAC manzillariga cheklovlarni kiritishning ikki yo'li mavjud:
1.Statik - administrator qaysi manzillarga ruxsat berilganligini
ro'yxatlashganda
2. Dinamik - ma'mur nechta manzilga ruxsat berilishini
aniqlaganda va o'tish tugmasi bilib oladi, qaysi manzilga hozirda ko'rsatilgan port
orqali kirish mumkinligini eslab qoladi
O'z navbatida, dinamik ravishda o'rganilgan manzillar kommutatorning
RAM-da saqlanishi mumkin, bu holda qayta ishga tushirilgandan so'ng "o'rganish"
ni takrorlash kerak bo'ladi; yoki konfiguratsiyada - keyin konfiguratsiyani
saqlash mumkin va qayta yuklangandan keyin ham manzillar qoladi. Ikkinchi rejim
"yopishqoq" ( yopishqoq ) deb nomlanadi , chunki u portga qanday yopishish
kerakligi haqida gapiradi, shundan so'ng "unstick" ularni faqat administrator
qilishlari mumkin - qo'lda. Yana bir savol - agar xavfsizlik buzilgan bo'lsa
va portga xavfsizlikni sozlashimizga qaraganda ko'proq manzillar kirsa nima qilish
kerak ? Ushbu holatdagi o'tish rejimiga uchta rejimdan biri javobgardir:
Himoya qilish - yangi MAC-manzillarga ega bo'lgan ramkalar e'tiborga
olinmaydi, qolganlari ham ishlashda davom etmoqda. Rejim yaxshi, chunki port ishlashda davom etmoqda, ammo yomon tomoni shundaki, administrator
o'z tarmog'ida bunday g'alati narsalar yuz berayotganini hech qachon bilmaydi
Cheklash - himoya qilish rejimiga o'xshaydi, faqat kommutator SNMP
orqali bunday noxush holat yuz berganligi to'g'risida xabar beradi, bundan tashqari,
bu haqda syslog- ga ma'lumot yozadi (agar tuzilgan bo'lsa)
O'chirish - nomidan ko'rinib turibdiki, syslog va SNMP orqali xabarlarga
qo'shimcha ravishda port o'chadi. Bu tarmoq xatolariga bardoshlik nuqtai
nazaridan unchalik yaxshi emas, lekin biz portni qo'lda yoqmagunimizcha
tajovuzkor o'z tarmog'imizni o'rganish bo'yicha tajribalarini davom ettira olmasligini aniq bilamiz .
Endi biz butun nazariyani bilamiz, keling, port xavfsizligini sozlashga harakat
qilaylik :
S1#configure terminal
S1(config)#interface fastEthernet 0/11
S1(config-if)#switchport mode access
S1(config-if)#switchport port-security
Shunday qilib, biz ushbu funktsiyani interfeysda standart qiymatlari bilan
yoqdik, ya'ni:
Har bir port uchun maksimal 1 MAC-manzil
Xotira rejimi dinamikasi (RAMda, yopishqoq emas )
Ikkinchi MAC-manzil paydo bo'lganda harakat - portni o'chirib qo'ying
Bu siz portiga 11, uchun, kompyuterni ulash tekshirish oson Ping narsa,
so'ngra MAC o'zgartirish va harakat Ping yana . Port o'chiriladi va xato-o'chirib qo'yilgan holatga kiradi . Portni qaytayoqish uchun uni o'chirib yoqishingiz
kerak:
S1(config)#interface fastEthernet 0/11
S1(config-if)#shutdown
%LINK-5-CHANGED: Interface FastEthernet0/11, changed state to
administratively down
S1(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/11, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/11,
changed state to up
Amaldagi port xavfsizligini quyidagi buyruq bilan ko'rish mumkin:
S1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------
Fa0/11 1 1 0 Shutdown
----------------------------------------------------------------------
Jadvalda siz maksimal 1 MAC ekanligini ko'rishingiz mumkin va u allaqachon o'rganilgan, harakat O'chirish . Qayta switch, saqlanishi MAC unutiladi va bu oldini olish uchun qayta-o'rganish kerak bo'lsa, u MAC- yod "yopishqoq" o'z ichiga zarur s . Shu bilan birga, keling, ularning sonini beshdan oshiraylik:
S1(config)#interface fastEthernet 0/11
S1(config-if)#switchport port-security mac-address sticky
S1(config-if)#switchport port-security maximum 5
Agar biz manzillarni statik ravishda qo'lda ro'yxatlashni istasak, unda yopishqoq so'z o'rniga (yoki unga parallel ravishda - alohida satrda) ularni quyidagi buyruq bilan ro'yxatlashimiz mumkin:
S1 ( config -if) # switchport port-security mac-address 1234.abcd.1234
Ammo biz MACni statik ravishda qo'shmadik, shunchaki yopishqoq rejimni yoqdik . Biz kompyuterdan ping qilishga harakat
qilamiz , shundan so'ng biz konfiguratsiyani ko'rib chiqamiz :
S1#show running-config
Building configuration...
Current configuration : 1185 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname S1 … interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0001.4276.96B5 …
Biz nimani ko'ramiz? «switchport port-security mac-address sticky 0001.4276.96B5» qatori kompyuter manzilini eslab qolganligini va "portga
yopishib qolgan" degan ma'noni anglatadi, go'yo biz o'zimiz uni statik ravis da haydab yubordik. Agar siz hozirda konfiguratsiyani saqlasangiz, qayta yoqilgandan so'ng manzil yo'qolmaydi va kommutatorni qayta tayyorlash kerak bo'lmaydi.
Xulosa shuki, port xavfsizlik xususiyati hisoblanadi modernizatsiya qilish
uchun juda oson va juda yaxshi hujumlar ba'zi turlariga qarshi yordam beradi.
Начало формы
Barchalarga salom, bugun men Cisco 3560 misolidan foydalanib OSI modelidagi cisco 3 darajali kalitlarni qanday sozlash haqida savolni ko'rib chiqmoqchiman. Shuni eslatib o'tamanki, cisco 3 darajali kalitlar Internetga shlyuz sifatida kirish uchun ishlatilmaydi, lekin faqat mahalliy tarmoqdagi vlan o'rtasida marshrut trafigi ... Cisco, barcha sotuvchilar singari, Internetga kirish uchun yo'riqchini taqdim qiladimi? eng keng tarqalgan ulanish diagrammasi quyida ko'rsatilgan.
Uskunalar va tarmoq diagrammasi
Menda cisco 3560 Layer 3 tugmachasi bor, u 24 ta portga ega, deylik.
U mening mahalliy tarmog'imdagi vlan o'rtasida trafikni yo'naltiradi va OSI modelining 2 darajasidagi 3 ta kalit, kirish darajasi, cisco 2960 kalitlari va cisco 3560 o'zi tarqatish darajasida ishlaydi. Eslatib o'taman, ikkinchi darajadagi trafik mac manzillari asosida almashtiriladi. Kirish darajasi - bu so'nggi qurilmalar ulangan joy, bizning holatlarimizda kompyuterlar, serverlar yoki printerlar .. Quyida diagramma mavjud.
Layer 2 Switch nima?
Ikkinchi qavat kaliti - bu OSI tarmoq modelining ikkinchi qavatida ishlaydigan apparatning bir qismi
Ko'knori manzillari asosida trafikni almashtiradi
Kirish darajasi sifatida ishlatiladi
Mahalliy tarmoqlarni birlamchi segmentatsiyasi uchun xizmat qiladi
Port / foydalanuvchi uchun eng past narx
Texnik hujjatlarda ushbu piktogramma shaklida ikkinchi darajali kalit ko'rsatilgan
3-darajali almashtirish nima?
Uchinchi darajali kalit - bu OSI modelining uchinchi darajasida ishlaydigan temir bo'lagi, u quyidagilarga qodir:
IP-marshrutlash
Kirish katlamini birlashtirish
Tarqatish qatlami kalitlari sifatida foydalaning
Yuqori ishlash
Texnik hujjatlarda uchinchi darajali kalit ushbu belgi shaklida ko'rsatilgan
Sinov skameykasini yaratishda menga tarmoq simulyatori, Cisco packet tracer 6.2 yordam beradi. Siz Cisco packac tracer 6.2-ni bu yerdan yuklab olishingiz mumkin. Mana mening test saytimning batafsil diagrammasi. Yadro sifatida menda 3560 cisco katalizatori bor, uning ikkita vlani bor: 2 va 3, statik ip adreslari VLAN2 192.168.1.251 va VLAN3 192.168.2.251. Quyida VLAN-larni tashkil qilish uchun va yuqori darajadagi ulanish sifatida ishlatiladigan ikkita kirish darajasining kalitlari mavjud. Mahalliy tarmoqda 4 ta kompyuter mavjud, har bir vlanda ikkitadan. Vlan2 dan PC3 vlan3 dan PC5ni pinglashi kerak.
Biz qaror qilgan maqsad bilan siz boshlashingiz mumkin. Men bu erda vlan nima ekanligini o'qiy olmayman.
Cisco Layer 2 kalitini sozlash
Layer 2 tugmachasini sozlash juda oddiy. Cisco katalizatori 2960 ni sozlashni boshlaymiz, chunki mening PC03 va PC04 kompyuterlarim Switch0 ga ulangan, fa0 / 1 va fa0 / 2 portlari. Rejaga ko'ra, bizning Switch0-da ikkita vlan bo'lishi kerak. Keling, ularni yaratishga kirishamiz. Biz imtiyozli rejimga o'tamiz va buyruqni kiritamiz
endi konfiguratsiya rejimiga o'ting
Biz VLAN2 va VLAN3 ni yaratamiz. Buning uchun buyruqni yozing
nomini qo'ying, VLAN2 bo'lsin
Biz uni qoldiramiz
Xuddi shu tarzda VLAN3-ni yarating.
Endi vlan 2 ga fa0 / 1 interfeysini, vlan 3 ga esa fa0 / 2 interfeysini qo'shamiz.
int fa 0/1
Port kirish rejimida ishlaydi deb aytamiz
switchport rejimiga kirish
biz uni VLAN2 ga tashlaymiz
switchport kirish vlan 2
Endi vlan 3 ga fa0 / 2 qo'shamiz.
switchport rejimiga kirish
switchport kirish vlan 3
Endi bularning hammasini buyruq yordamida kalit xotirasida saqlaylik
Endi magistral portini sozlaymiz. Magistral port sifatida men gigabit port gig 0/1 ga ega bo'laman. Gig 0/1 portini sozlash uchun buyruqni kiritamiz.
Uni magistral rejimiga o'tkazamiz
switchport rejimi magistrali
Va kerakli vlanlarni magistral orqali hal qilamiz
Sozlamalarni saqlaymiz. Ikkinchi qatlam kalitining barcha konfiguratsiyasi deyarli yakunlandi.
Endi xuddi shu usul VLAN2-da Switch1 va PC5 kalitlarini va VLAN3-da PC6-ni sozlaydi. Biz hamma narsani OSI modelining ikkinchi darajasida tugatdik, uchinchi darajaga o'ting.
Cisco 3560-ni sozlash
Cisco 3560-ni sozlash quyidagicha amalga oshiriladi. chunki bizning yadro ichki mahalliy trafikni yo'naltirishi kerak, biz bir xil vlanni yaratishimiz, ularga ip-manzillarni o'rnatishimiz kerak, chunki ular standart shlyuzlar va magistral portlari sifatida ishlaydi.
Magistral portlardan boshlaymiz, bizda gig 0/1 va gig 0/2 mavjud.
interfeys sozlamalariga o'ting gig 0/1 va gig 0/2
int oralig'i gig 0 / 1-2
Magistral rejimini yoqishga harakat qilaylik
switchport rejimi magistrali
ammo oxir-oqibat sizga shunday ishora keladi: Buyruq rad etildi: Magistral kapsulasi "Avtomatik" bo'lgan interfeysni "magistral" rejimiga sozlash mumkin emas. Uning ma'nosi shundan iboratki, sizga avval paketlarni kapsulalashni yoqish taklif etiladi. Keling, Cisco 3560-ga inkapsulyatsiya o'rnatamiz.
switchport magistral kapsulasi dot1q
Endi biz rejim va ruxsat berilgan vlanni ko'rsatamiz
switchport rejimi magistrali
switchport magistraliga ruxsat berilgan vlan 2,3
Cisco sozlamalarini saqlang
(Uyga vazifa: ip 172.10.10.1, 172.10.10.2, 172.10.10.3 uchta kalitni ulang
- shifrlangan parol bilan ikkita mahalliy foydalanuvchi yaratish
burch plevel 5 o'tish: qo'llab-quvvatlash
administrator plevel 15 pass: root
- barcha kalitlarda telnetni ochish
- barcha 3 kalitlarga kompyuter va telnet ulang
Seriyali port (ing.) ketma-ket port, MAQOMOTI porti, inglizcha aloqa porti) - bu shaxsiy kompyuterlar bilan keng jihozlangan RS-232 standart interfeysining jargon nomi. Port "ketma-ket" deb nomlanadi, chunki u orqali ma'lumotlar birma-bir, ketma-ket bit (parallel portdan farqli o'laroq) uzatiladi. Ba'zi kompyuter interfeyslari (masalan, Ethernet, FireWire va USB) ham ma'lumot almashishning ketma-ket usulidan foydalanishiga qaramay, "ketma-ket port" nomi RS-232 standartidagi portga berilgan.
5 raqami bizning MAQOMOTI portimiz
Konsol nazorati
Xo'sh, siz kalitni olib keldingiz, bosib chiqardingiz va kuch berdingiz. U sovuqqonlik bilan dadillik bilan shitirladi, portlarining svetodiodlari bilan ko'zingizni qisib qo'ydi. Keyin nima qilish kerak?
Biz deyarli barchasini boshqarish uchun eng qadimiy va eskirgan usullardan birini qo'llaymiz aqlli qurilma: konsol. Buning uchun sizga kompyuter, qurilmaning o'zi va mos keladigan simi kerak.
Bu erda har bir sotuvchi yaxshi. Ular qanday ulagichlardan foydalanmaydilar: RJ-45, DB-9 erkak, DB-9 urg'ochi, DB-9 nostandart pinoutli, DB-25.
Tsiska qurilma tomonida RJ-45 ulagichi va kompyuter tomonida DB-9 urg'ochisidan (MAQOMOTI portiga ulanish uchun) foydalanadi. Konsol porti quyidagicha ko'rinadi:
Va bu turli xil sotuvchilarning konsol kabeli:
Muammo shundaki, zamonaviy kompyuterlarda ko'pincha MAQOMOTI porti mavjud emas. Tez-tez ishlatiladigan USB-dan-COM konvertorlari yordamga keladi:
Buning uchun drayverni topish juda qiyin, kimni yuklab olish kerak
Drayverni o'rnatgandan so'ng, dasturni ishga tushirgandan so'ng, konsol kabelini bir tomonga kalitga, ikkinchisini esa USB-to-COM-ga ulashingiz mumkin.
|
