|
Topshiriqlar Tarmoq qurilmasini asosiy ko‘rsatkichlarini sozlash
|
| bet | 2/4 | | Sana | 08.01.2024 | | Hajmi | 2,16 Mb. | | #132637 |
Bog'liq 1-laboratoriya ishi rezervlash protokollari stp, rstp va agregat Mustaqil ish, EKSTREMIZM VA TERRORIZMGA QARSHI KURASH,O’ZBEKISTON TAJRIBASI, Funksiya uzluksizligi. Uzilish nuqtalari va ularning, Xalqaro konferensiya 2 2023, Resp Konferensiya 1 2023, HAYOT FAOLIYATI XAVFSIZLIGI1, 2-amaliy, Muhammad al, CamScanner 25.12.2023 18.40
SSH protokolini sozlashdan oldin kommutatorda tugunning maxsus nomini va tarmoq ulanishining mos keluvchi ko`rsatkichlarini ko‗rsatish lozim.
1 – qadam. SSH protokolini borligini tekshirish
SSH protokoli borligini bilish uchun show ip ssh buyrug‗i beriladi. Agar kommutatorda kriptografik funksiyani qo‗llab quvvatlovchi IOS bo‗lmasa, bu buyruq ishlamaydi.
2 – qadam. IP domenni sozlash
Tarmoqning IP domenini global konfiguratsiya rejimida ip domain-name domen nomi yordamida ko‗rsating. 1.2 – rasmda domen nomi cisco.com qilib olingan.
– rasm. Uzoqdagi qurilmani boshqarish uchun SSH protokolini sozlash
3– qadam. RSA kalitlarini yaratish
IOS ning hamma versiyalarida ham SSH ning 2 versiyasi ishlatilmaydi. SSH ning 1 versiyasida ma‘lum zaifliklar mavjud. SSH ni sozlash uchun global konfiguratsiya rejimida ip ssh version 2 buyrug‗i beriladi. Juft RSA kalitlari yaratilganda SSH protokoli avtomatik ishga tushadi. Kommutatorda SSH serverini ishlatish va juft RSA kalitlarini generatsiya qilish uchun global konfiguratsiya rejimida crypto key generate rsa buyrug‗i kiritiladi. RSA kalitlarini yaratishda administratordan modulni uzunligini kiritish talab etiladi. Modulning uzunligi 1024 bit bo‗lishi tavsiya etiladi. Uzun modul ishlatilsa xavfsiz bo‗ladi, lekin uni yaratishda va ishlatishda ko‗p vaqt ketadi.
4 – qadam. Foydalanuvchining autentifikatsiyasini sozlash
SSH-server foydalanuvchilarni lokal yoki autentifikatsiya serveri yordamida himoyalashi mumkin. Autentifikatsiyaning lokal usulini ishlatish uchun global konfiguratsiya rejimida username foydalanuvchi nomi secret password buyrug‗i beriladi. Foydalanuvchi uchun admin parol uchun ccna olindi.
Kommutatorda port xavfsizligi (port security) ni sozlash
Topshiriq
Qisqacha nazariy ma’lumotlar
Port-security funksiyasi kommutatorning biror bir porti orqali tarmoqqa faqat ko`rsatilgan qurilmalar kirishini sozlashga imkon beradi. Ushbu portga kirishga ruxsat berilgan qurilmalar MAC-manzillar bo`yicha aniqlanadi. MAC-manzillar dinamik yoki tarmoq administrator tomonidan qo`lda sozlanishi mumkin. Bundan tashqari Port-security funksiyasi portga ulanuvchi tugunlar sonini cheklashga imkoniyat yaratadi, bu esa portga MAC-manzillar sonini ko`rsatish orqali amalga oshiriladi, shu jumlardan kommutatorni himoyalash hisoblanadi (2.1-rasm.).
2.1-rasm. Kommutatorda Port Security funksiyasining ishlash tartibi
MAC-manzillarga cheklov kiritishning ikkita usuli mavjud:
Statik – administrator qaysi manzillar kirishini ko`rsatadi;
Dinamik – administrator nechta manzil kirishini ko`rsatadi va kommutator qaysi manzillar shu vaqtda ko`rsatilgan port orqali murojat qilayotganini eslab qoladi.
Windows OS da Ethernet adapterining MAC-manzilini ipconfig /all buyrug`i yordamida aniqlanadi. Quyidagi 2.2-rasmga kompyuterning MAC-manzili 00-18-DE-C7-F3-FB ko`rinishda keltirilgan.
2.2-rasm. Kompyuter qurilmasining MAC-manzilini ko`rish
Kommutator qurilmasining MAC-manzillar jadvalini ko`rish uchun show mac-address-table buyrug`i orqali aniqlanadi (2.3-rasm).
2.3-rasm. Kommutator qurilmasining MAC-manzilini ko`rish
Kommutatorni himoya qilishning oddiy usullaridan biri bu – ishlatilmayotgan portlarni o`chirib qo`yish hisoblanadi.
Ishni bajarish tartibi
Cisco Packet tracer dasturida lokal tarmoq quriladi. (kommutator, kompyuterlar, noutbok, kabellar)
2.4-rasm. Lokal tarmoq qurish sxemasi
Qurilma
|
Interface
|
IP manzil
|
Tarmoq osti maskasi
|
Kommutator
|
Vlan
|
192.168.1.100
|
255.255.255.0
|
PC1
|
NIC
|
192.168.1.10
|
255.255.255.0
|
PC2
|
NIC
|
192.168.1.11
|
255.255.255.0
|
Noutbok
|
NIC
|
192.168.1.12
|
255.255.255.0
|
Ishlatilmayotgan portlarni o`chirish
Ishlatilmayotgan portlarni o`chirish – bu ko`pchilik administratorlar foydalanadigan, tarmoqni ruxsatsiz kirishdan himoya qilishda oddiy usullardan biri. Masalan, agar Catalyst 2960 kommutatori 24 portga ega va unda 3 ta FastEthernet portlari ishlatilayotgan bo`lsa, qolgan 21 ta ishlatilmayotgan portlarni o`chirib qo`yish tavsiya etiladi. Buni amalga oshirish uchun har bir ishlatilmayotgan portga alohida kiritiladi va o`chirib qo`yish buyrug`i beriladi:
Cisco kommutatorning CLI oynasiga quyidagi buyruqlarni kiritamiz:
Switch>enable
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface range fastethernet 0/3-24
Switch(config-if-range)#shutdown
Natijada tarmoqdagi quyidagi holat yuzaga keladi.
2.5-rasm. Noutbok tarmoqga ulanish cheklanganligi holati
Agar keyinchalik portlarni yana ishga tushurish kerak bo`lsa, no shutdown buyrug`idan foydalaniladi:
Switch(config)#interface range fastethernet 0/3-24
Switch(config-if-range)# no shutdown
Cisco kommutatorlarida Port-security
Port-securityni sozlash
Port-security interfeysni sozlash kommutatorning port rejimlar orqali amalga oshiriladi. Ko`pchilik Cisco kommutatorlarida portlar odatda dynamic auto rejimida turadi, ushbu rejim port-security funksiyasiga to`g`ri kelmaydi. Shuning uchun interfeysni trunk yoki access rejimiga o`tkazish kerak:
Switch>enable
Switch#conf t
Switch(config)#int range f0/1-2
switch(config-if-range)# switchport mode access
switch(config-if-range)#)# switchport port-security { Interfeysda port securityni ishga tushurish }
Xavfsiz MAC-manzillarning maksimal soni
switchport port-security maximum N – bu bir vaqtda N sonli MAC-manzillar interfeysda ishlashini anglatadi.
Masalan:
switch(config-if-range)# switchport port-security maximum 1
Xavfsiz MAC-manzillarni sozlash
Manzillarni dinamik saqlash (sticky) buyrug`i orqali ishga tushurish:
switch(config-if-range)# switchport port-security mac-address sticky
Agar manzillarni statik tarzda kiritish kerak bo`lsa sticky buyrug`i o`rniga manzillar yoziladi:
switch (config-if) # switchport port-security mac- address 0050.3e8d.6400
|
| |
