Microsoft Word metodichka tarmoq Xavfsizligi

1 – tajriba ishi
Mavzu: Tarmoq qurilmalarida dastlabki xavfsizlik sozlamalarini 
o’rnatish 
Ishdan maqsad : Kommutator qurilmasining tuzilishi, ishlash tamoyillari, 
masofadan kirishni ta’minlash usullari hamda xavfsizlik ko’rsatkichlarini sozlash 
qoidalarini tadqiq qilishdan iborat. 
Ushbu tajriba ishida 1.1 – rasmda keltirilgan tarmoq tuzilishi bo`yicha 
konfiguratsiya ishlari amalga oshiriladi. 
1.1 – rasm. Tadqiq qilinayotgan tarmoq tuzilishi 
1.1-jadval 
Manzillash jadvali 
Qurilma Interfeys 
IP-manzil 
Tarmoq 
maska 
Asosiy 
shlyuz 
S1
VLAN 1 
192.168.1.100 255.255.255.0 192.168.1.1
PC-A
Tarmoq 
adapteri
192.168.1.2
255.255.255.0 192.168.1.1
Topshiriq 
1. Tarmoq qurilmasini asosiy ko‘rsatkichlarini sozlash
– Console porti orqali kommutatorning asosiy ko‘rsatkichlarini sozlang
– kompyuter uchun IP- manzilni o‘rnating. 
– Telnet protokoli yordamida masofadan kirishni sozlang 
– SSH protokoli yordamida masofadan kirishni sozlang 
2. Tarmoq bog‘lanishni tekshiring 

– qurilmaning konfiguratsiyasini ko‘rsating
– telnet yordamida uzoqdan boshqarishni testlang
– kommutatorning hozirgi konfiguratsiyasini saqlang.
Qisqacha nazariy ma’lumotlar 
Cisco IOS qurilmalarining buyruqlar satri interfeysi (CLI- Command Line 
Interface) ga kirishning bir necha yo‘llari mavjud. Quyida eng keng tarqalgan 
usullar keltirilgan: 
– Console 
– Telnet yoki SSH 
– Port AUX 
Console port — Konsol porti Cisco qurilmasini sozlash uchun tashqaridan 
kirishni ta’minlaydigan boshqaruv portidir. Konsol portidan foydalanishning 
afzalligi shundan iboratki, qurilmaga tarmoq xizmatlarini konfiguratsiya qilmasdan 
ham kirish mumkin, masalan, tarmoq qurilmasining dastlabki konfiguratsiyasi 
holatida. Boshlang‘ich konfiguratsiya bajarilganda, kompyuterning maxsus kabeli 
(RS232) yordamida qurilmaning konsol portiga ulanadi va sozlash ishlari amalga 
oshiriladi. 
TELNET (terminal network) — tarmoq bo‘ylab qurilmalarga murojat qilish 
uchun mo‘ljallangan tarmoq protokoli. Protokolning zamonaviy standarti RFC 854 
da yozilgan. 
TELNET protokolining vazifasi terminal qurilmalar o‘rtasida o‘zaro 
ishlashni ta’minlashdan iborat. Bu protokol terminal-terminal ko‘rinishdagi 
aloqada ishlatiladi. 
Protokol Secureshell (SSH) — bu protokol uzoqdagi qurilmalarni 
boshqarish uchun xavfsiz (shifrlangan) bog‘lanishni ta’minlaydi. Uzoqdagi 
qurilmalarni boshqarish uchun Telnet protokoli o‘rniga SSH protokolini qo‘llash 
tavsiya etiladi. Lokal tarmoqlarda Telnet ni qisqa vaqt uchun ishlatish mumkin. 
Telnet eskirgan protokol hisoblanib, qurilmalar o‘rtasida ishlashda shifrlanmagan 

xavfsiz ma’lumot ko‘rinishiga o‘xshaganday identifikatsiya axborotlari 
(foydalanuvchi nomi va paroli) ham ochiq uzatiladi. SSH uzoqdagi qurilmalar 
bilan bog‘lanishda himoyani ta’minlaydi. Qurilmalarni autentifikatsiya 
(foydalanuvchi nomi va paroli) ma’lumotlarini ishonchli shifrlaydi. Shuningdek 
qurilmalar o‘rtasidagi uzatilayotgan ma’lumotlarni ham himoyalaydi. SSH TCP-
port 22 ni, Telnet TCP-port 23 ni ishlatadi.
AUX-Buyruqlar satri interfeysi (CLI) seansini o‘rnatish uchun eskirgan usul 
xisoblanadi, u telefondagi dial-up bog‘lanishi yordamida routerning yordamchi 
portiga (AUX) ulanadi. Shu tarzda, konsol aloqasi yordamida, yordamchi usul ham 
tarmoqdan tashqari ulanishni ta’minlaydi va konfiguratsiya yoki tarmoq 
xizmatlarini talab qilmaydi. Agar tarmoq xizmatlarining ishlashi buzilgan bo‘lsa, 
masofadan boshqaruvchi kalit yoki routerga telefon liniyasidan kira oladi. 
Kerakli resurslar:
– 1 ta kommutator (Cisco 2960 operatsion tizimi Cisco IOS 15.0(2), obraz 
lanbasek9);
– 1 ta kompyuter (operatsion tizimi Windows 7, Vista yoki XP da 
emulyator terminal dasturi, Masalan: Tera Term, Patty);
– cisco IOS qurilmasini konsol porti orqali sozlash uchun console kabeli; 
– ethernet kabeli.
1. Kommutatorni sozlashni tekshirish 
1.1. Topologiyaga mos ravishda kabellarni ulang 
a. Topologiyaga mos ravishda konsolli ulanishni o‘rnating. Bunda
Ethernet kabelini PC-A ga ulamang (bu real qurilmaga ulanishda). 
b. Tarmoq qurilmasini sozlashda konsolli port yoki Telnet / SSH ulanish 
uchun terminal (m: komp’yuter)da emulyatsiya dasturlari mavjud bo‘lishi kerak. 
Ushbu dasturlardan ba’zilari quyidagilardir: 
 PuTTY; 
 Tera Term; 

 SecureCRT; 
 HyperTerminal; 
 Terminal OS X. 
Tajriba ishini bajarishda topologiyani qurish va Cisco kommutatoriga 
konsol kabeli bilan bog‘lanish yoki uzoqdan kirish usuli (telnet yoki SSH) orqali 
kirishga ruxsat olish kerak. Kommutatorning asosiy ko‘rsatkichlarini sozlashdan 
oldin kommutatorning dastlabki xolatini tekshirish kerak. Kommutatorning bu 
ko‘rsatkichlariga qurilmaning nomi, interfeysning nomi, lokal parollar, MOTD 
(qurilmaga kirishda kiruvchini ogohlantiruvchi xabar) banneri, IP manzil, statik 
MAC manzilni qo‘yilganligi kiradi.
1.2. Kommutatorni dastlabki holatini tekshiring. 
Kommutatorni dastlabki xolati: IOS ma’lumotlari, interfeys xususiyatlari,
VLAN va flesh – xotira to‘g‘risidagi ma’lumotlarni tekshiramiz.
Kommutator IOS ning barcha buyruqlari imtiyoz rejimida bajarish mumkin. 
Imtiyoz rejimiga kirishda begonalarni qurilmadan foydalanishini oldini olish va 
global konfiguratsiya rejimiga to‘g‘ridan to‘g‘ri o‘tib ketmaslik hamda ishchi 
ko‘rsatkichlarni sozlash uchun ishlatiladigan buyruqlarga kirmaslik uchun parol 
yordamida cheklash kerak.
Imtiyoz to‘plamiga foydalanuvchi rejimining buyruqlari kiradi. Shuningdek 
boshqa buyruqli rejimlarga o‘tishni bajaruvchi configure buyrug‘i kiradi. Imtiyoz 
rejimiga kirish uchun Enable buyrug‘ini kiriting. 
a. Imtiyoz rejimiga o‘tish uchun foydalanuvchi rejimida kommutatorga 
Switch> enable buyrug‘ini yozing.
Switch> enable
Switch#
Qatordagi o‘zgarish imtiyoz rejimiga o‘tganligiga e’tibor bering.

Kommutatorning konfiguratsiyasini tekshirish uchun imtiyoz rejimida show 
running-config buyrug‘ini kiriting. Agar kommutatorda sozlangan fayllar 
saqlangan bo‘lsa, ularni o‘chirib tashlang.
b. "Running configuration" faylini o‘rganing 
Switch# show running-config
2960 kommutatori nechta FastEthernet interfeyslari mavjud? ________
2960 kommutatori nechta Gigabit Ethernet interfeyslari mavjud? _____ 
VTY-kanalining diapazon qiymati qancha? ________
c. VLAN 1 uchun SVI harakteristikalarini o‘rganing.
Switch# show interface vlan1
VLAN 1 tarmog‘i uchun IP-manzil qo‘yilganmi? ________
SVI qanday MAC-manzilga ega? _______________________ 
Ushbu interfeys yoqilganmi?
___________
Switch# show ip interface vlan1 qanday ma’lumotlar chiqdi?
d. Kommutatorning Cisco IOS operatsion tizimi to‘g‘risidagi ma’lumotni 
o‘rganing. Switch# show version
Hozirda ishlab turgan kommutator qaysi Cisco IOS operatsion tizimda 
ishlaydi? ______________________________________
Tizimning fayl obrazi qanday nomlanadi? _____________________
2. Tarmoq qurilmasini asosiy ko‘rsatkichlarini sozlash 
2.1. Kommutatorning asosiy parametrlari: qurilmaning nomi, lokal parollar,
MOTD (qurilmaga kirishda kiruvchini ogohlantiruvchi xabar) banneri, boshqaruv 
manzili va Telnet orqali kirishlarni sozlang

a. Agar kommutatorning NVRAM xotirasida konfiguratsiyaning fayli 
saqlanmagan bo‘lsa, siz imtiyoz rejimda bo‘lasiz. Agar qator Switch> ga o‘zgargan 
bo‘lsa enable ni yozing.
Switch> enable
Switch#
b. Global konfiguratsiya rejimiga o‘ting.
Switch# configure terminal
Switch(config)#
Global konfiguratsiya rejimini ko‘rsatish uchun qator yana o‘zgardi.
c. Kommutatorga nom bering.
Switch(config)# hostname S1
S1(config)#
d. Parolni shifrlanishini sozlang.
S1(config)# service password-encryption
S1(config)#
e. Imtiyoz rejimiga kirish uchun maxfiy parol sifatida class bering.
S1(config)# enable secret class
S1(config)#
f. MOTD (qurilmaga kirishda kiruvchini ogohlantiruvchi xabar) bannerini 
sozlang.
S1(config)# banner motd # Qurilmaga kirish taqiqlanadi#
g. Rejimlarga o‘tishdagi o‘tishlarni sozlanganligini tekshiring.
S1(config)# exit
S1# exit
Foydalanuvchi rejimidan imtiyoz rejimiga o‘ting. Parol so‘ralganda class 
ni kiriting.
S1> enable
Password:
S1#

Izoh: kiritishda Parol ko‘rinmaydi.
i. Kommutatorning SVI siga IP manzil qo‘yish uchun global rejimga 
kiring. Bu esa kommutatorni uzoqdan boshqarish imkoniyatini beradi.
S1 kommutatorni uzoqdagi PC-A kompyuter orqali boshqarishdan oldin 
kommutatorga IP manzil qo‘yish kerak. Kommutatorning dastlabki xolatidagi 
konfiguratsiyaga asosan kommutatorni boshqarish VLAN 1 orqali amalga 
oshiriladi.
Kommutatorning ichki virtual interfeys (SVI) VLAN 1 ga IP manzil 
192.168.1.100 va tarmoq maskasi 255.255.255.0 ni sozlang.
S1(config)# interface vlan1
S1(config-if)# ip address 192.168.1.100 255.255.255.0
S1(config-if)# no shutdown
S1(config-if)# exit
S1(config)#
3. Console konfiguratsiyasini sozlash 
Konsol port orqali kirishni ham chegaralash kerak. Dastlabki xolatdagi 
konfiguratsiyaga asosan barcha konsolli ulanishlar parolsiz sozlangan bo‘lishi 
kerak. Konsol xabarlarini uzluksizligini ta’minlash uchun logging synchronous 
buyrug‘i kiritiladi. 
S1(config)# line console 0
S1(config-line)# password cisco
S1(config-line)# login
S1(config-line)# logging synchronous
S1(config-line)# exit
S1(config)#
4. Telnet konfiguratsiyasini sozlash 

Kommutator telnet orqali kirishga ruxsat berishi uchun, ya’ni uzoqdan 
boshqarish uchun virtual bog‘lanish kanali (vty) ni sozlash kerak. Agar vty paroli 
qo‘yilmasa telnet orqali qurilmaga kirib bo‘lmaydi.
S1(config)# line vty 0 15
S1(config-line)# password cisco
S1(config-line)# login
S1(config-line)# end
5. SSH konfiguratsiyasini sozlash 
SSH protokolini sozlashdan oldin kommutatorda tugunning maxsus nomini 
va tarmoq ulanishining mos keluvchi ko`rsatkichlarini ko‘rsatish lozim.
1 – qadam. SSH protokolini borligini tekshirish 
SSH protokoli borligini bilish uchun show ip ssh buyrug‘i beriladi. Agar 
kommutatorda kriptografik funksiyani qo‘llab quvvatlovchi IOS bo‘lmasa, bu 
buyruq ishlamaydi. 
2 – qadam. IP domenni sozlash 
Tarmoqning IP domenini global konfiguratsiya rejimida ip domain-name 
domen nomi yordamida ko‘rsating. 1.2 – rasmda domen nomi cisco.com qilib 
olingan.
1.2– rasm. Uzoqdagi qurilmani boshqarish uchun SSH protokolini sozlash 
3– qadam. RSA kalitlarini yaratish 

IOS ning hamma versiyalarida ham SSH ning 2 versiyasi ishlatilmaydi. SSH 
ning 1 versiyasida ma’lum zaifliklar mavjud. SSH ni sozlash uchun global 
konfiguratsiya rejimida ip ssh version 2 buyrug‘i beriladi. Juft RSA kalitlari 
yaratilganda SSH protokoli avtomatik ishga tushadi. Kommutatorda SSH serverini 
ishlatish va juft RSA kalitlarini generatsiya qilish uchun global konfiguratsiya 
rejimida crypto key generate rsa buyrug‘i kiritiladi. RSA kalitlarini yaratishda 
administratordan modulni uzunligini kiritish talab etiladi. Modulning uzunligi 
1024 bit bo‘lishi tavsiya etiladi. Uzun modul ishlatilsa xavfsiz bo‘ladi, lekin uni 
yaratishda va ishlatishda ko‘p vaqt ketadi. 
4 – qadam. Foydalanuvchining autentifikatsiyasini sozlash 
SSH-server foydalanuvchilarni lokal yoki autentifikatsiya serveri yordamida 
himoyalashi mumkin. Autentifikatsiyaning lokal usulini ishlatish uchun global 
konfiguratsiya rejimida username foydalanuvchi nomi secret password buyrug‘i 
beriladi. Foydalanuvchi uchun admin parol uchun ccna olindi. 
5 – qadam. VTY kanalini sozlash 
Transport input ssh kanal konfiguratsiya rejimida VTY kanalida SSH 
protokoli yoqiladi. Kommutatorlarda VTY kanalining diapazoni 0 dan 15 gacha 
bo‘ladi. Bunday sozlash SSH protokolidan boshqa barcha ulanishlar (Masalan; 
Telnet)ni bekor qiladi va kommutatorga faqat SSH protokoli bo‘yicha ulanishga 
ruxsat beradi. Global konfiguratsiya rejimida line vty buyrug‘i beriladi, so‘ng SSH 
ulanish paytida foydalanuvchilarning lokal ma’lumotlar bazasidan lokal 
autentifikatsiya ishlatilishi uchun kanalning konfiguratsiya rejimida login local 
buyrug‘i beriladi.
6 – qadam. SSH versiya 2 ni qo‘llash 
Tinch xolatda SSH ikkala versiya (1 va 2)ni qo‘llab quvvatlaydi. Agar ikkala 
versiya ishlasa, u holda show ip ssh buyrug‘ining natijasi 1.99 versiya deb xabar 
beradi. 1 versiyada ko‘p zaifliklar mavjud. Shu sababli faqat 2 - versiyani ishlatish 
tavsiya qilinadi. Uni ishlatish uchun global konfiguratsiya rejimida ip ssh version 
2 buyrug‘i beriladi. 

Uzoqdagi qurilmaga xavfsiz ulanishni boshqarish uchun Telnet protokolini 
o‘rniga SSH protokolini qo‘llash tavsiya etiladi. Telnet da ochiq shifrlanmagan 
matnli almashish ishlatiladi. SSH protokoli qurilmalar o‘rtasida uzatilayotgan 
barcha ma’lumotlarni ishonchli shifrlash orqali uzoqdagi qurilma bilan xavfsiz 
ulanishni ta’minlaydi.
6. PC-A kompyuteri uchun IP manzil qo‘ying. 
Manzillash jadvaliga muvofiq kompyuterga IP manzil va tarmoq maskasini 
o‘rnating. Ko‘rilayotgan tarmoq uchun asosiy shlyuz kerak emas.
1) ekranning 
o‘ng 
tomondagi 
pastki 
burchagidagi
belgiga 
sichqonchaning chap tugmasini 2 marta bosing
2) “Подключение по локальной сети” belgisiga 2 marta sichqonchaning
chap tugmasini bosing
3) Chiqqan oynadan “Protokol Interneta TCP/IP” qatori tanlanib, “свойства”
tugmasi bosiladi
4) Chiqqan oynadan IP-manzil va tarmoq maskasi kiritiladi.
7. Tarmoq bog‘lanishni tekshiring 
7.1. Kommutatorning konfiguratsiyasini chiqaring. 
Console 
orqali 
ulangan 
PC-A 
kompyuterda 
kommutatorning 
konfiguratsiyasini chiqaring. Show run buyrug‘i hozirgi konfiguratsiyani sahifa 
ko‘rinishida chiqaradi. Keyingi qatorlarni ko‘rish uchun PROBEL tugmasi 
bosiladi.
a. Bu erda konfiguratsiyaga misol keltirilgan. Kiritgan sozlanishlar sariq 
rangda ajratilgan. Konfiguratsiyaning boshqa ko`rsatkichlari IOS ning o‘zida 
o‘rnatilgan sozlanish hisoblanadi.
S1# show run
Building configuration...
Current configuration : 2206 bytes !

version 15.0 no service pad service timestamps debug datetime msec service 
hostname S1 !
boot-start-marker
enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2
no aaa new-model system mtu routing 1500 ! !
b. Administrativ VLAN 1 ni ko`rsatkichlarini tekshiring.
7.2. To‘g‘ridan to‘g‘ri bog‘lanishni exo so‘rov jo‘natish orqali tekshiring. 
a. PC-A kompyuterdan kommutatorning SVI interfeysining administrativ 
manziligi exo so‘rov jo‘nating
C:\Users\User1> ping 192.168.1.100
PC-A kompyuter S1 kommutatorning MAC manzilini ARP protokoli yordamida 
olishi kerak. Birinchi paket uzatmada kutish vaqti tugashi mumkin. Lekin exo – 
so‘rov amalga oshmasa, qurilmaning bazaviy sozlanishidagi nosozlikni tekshiring 
va sozlang. 
7.3. S1 kommutatorni uzoqdan boshqarishni tekshiring. 
Qurilmaga uzoqdan kirishni Telnet orqali amalga oshiring. Bizning misolda 
kompyuter va kommutator yonma – yon joylashgan. Ishlab chiqarishda esa 
kompyuter 1 qavatda, kommutator boshqa qavatda joylashgan bo‘lishi mumkin. 
SHu sababli kommutatorni uzoqdan boshqarish uchun Telnet dan foydalaniladi.
a. PC-A kompyuterning cmd oynasida S1 kommutatorga SVI 
administrativ manzil orqali ulanish uchun telnet /SSH buyrug‘ini kiriting. 
C:\Users\User1> telnet 192.168.1.100 
C:\Users\User1> ssh –l admin 192.168.1.100 
b. cisco parolini kiritgandan so‘ng foydalanuvchi rejimiga o‘tgan 
hisoblanadi. Imtiyoz rejimiga o‘ting.
c. Telnet yoki SSH seansini tugatish uchun exit ni kiriting.
7.4. Kommutatorga kiritilgan o‘zgarishlarni saqlang. 

Konfiguratsiyani saqlang. 
S1# copy running-config startup-config
Destination filename [startup-config]? [Enter]
Building configuration...
Nazorat savollari 
1. Console porti qaysi holatda ishlatiladi? 
2. Kommutator uchun nima sababdan VTY kanalini sozlash kerak? 
3. Parolni shifrlanmagan ko‘rinishda uzatilmasligi uchun nima qilish kerak?
4. Telnet va SSH protokollari nima maqsadda ishlatiladi? 
5. Kompyuterlar qurilmalarga kirishi uchun nima sababdan tarmoq manzili 
bir xil bo‘lishi kerak? 
6. Line vty 0 15 buyrug‘i nimani bildiradi?