CCNA Discovery 企業中的路由和交換簡介
實驗 3.1.4 套用基本的交換器安全性
目標
• 設定密碼以確保對 CLI 的存取受到保護。
• 移除交換器的 http 伺服器狀態,以確保安全。
• 設定連接埠安全性。
• 停用未使用的連接埠。
• 將未知主機連接到安全連接埠,以測試安全性設定。
背景/準備工作
參照拓撲圖,建立一個類似的網路。
本實驗需要以下資源:
• 一台 Cisco 2960 或同類交換器
• 兩台使用 Windows 系統的 PC,其中至少一台安裝有終端機模擬程式
裝置編號 IP 位址 子網路遮罩 預設閘道
啟用加密 密碼
vty 和主控台 密碼
PC 1 192.168.1.3 255.255.255.0 192.168.1.1 PC 2 192.168.1.4 255.255.255.0 192.168.1.1 PC 3 192.168.1.5 255.255.255.0 192.168.1.1
Switch1 192.168.1.2 255.255.255.0 192.168.1.1 class cisco
• 兩條直通乙太網路纜線(分別將 PC1 和 PC2 連接到交換器)
• 對 PC 命令提示字元的存取權
• 對 PC 網路 TCP/IP 設定的存取權
注意:請確保已清除交換器的啟動設定。有關清除交換器和路由器設定的說明,請參閱 Academy Connection 中 Tools(工具)部份的 Lab Manual(實驗手冊)。
步驟 1:將 PC1 連接到交換器
a. 將 PC1 連接到高速乙太網路交換器連接埠 Fa0/1。使用表中所示的 IP 位址、遮罩和閘道設定 PC1。
b. 建立從 PC1 到交換器的終端機模擬會談。
步驟 2:將 PC2 連接到交換器
a. 將 PC2 連接到高速乙太網路交換器連接埠 Fa0/4。
b. 使用表中所示的 IP 位址、遮罩和閘道設定 PC2。
步驟 3:設定 PC3 但不連接 本實驗還需要第三台主機。
a. 使用 IP 位址 192.168.1.5、子網路遮罩 255.255.255.0 和預設閘道 192.168.1.1 設定 PC3。
b. 暫時不要將此 PC 連接到交換器,因為它要用來測試安全性。
步驟 4:在交換器上執行初始設定
a. 將交換器的主機名稱設定為 Switch1。
Switch>enable
Switch#config terminal
Switch(config)#hostname Switch1 b. 將特權執行模式密碼設定為 cisco。
Switch1(config)#enable password cisco c. 將特權執行模式加密密碼設定為 class。
Switch1(config)#enable secret class
d. 設定主控台和虛擬終端機線路的密碼,並且要求在登入時輸入密碼。
Switch1(config)#line console 0 Switch1(config-line)#password cisco Switch1(config-line)#login
Switch1(config-line)#line vty 0 15 Switch1(config-line)#password cisco Switch1(config-line)#login
Switch1(config-line)#end e. 退出主控台會談,然後重新登入。
進入特權執行模式需要輸入什麼密碼?____________________________________________
為什麼?
步驟 5:設定 VLAN 1 上的交換器管理介面 a. 進入 VLAN 1 的介面設定模式。
Switch1(config)#interface vlan 1 b. 為管理介面設定 IP 位址、子網路遮罩和預設閘道。
Switch1(config-if)#ip address 192.168.1.2 255.255.255.0 Switch1(config-if)#no shutdown
Switch1(config-if)#exit
Switch1(config)#ip default-gateway 192.168.1.1 Switch1(config)#end
為什麼介面 VLAN 1 需要此 LAN 中的 IP 位址?
________________________________________________________________________________
預設閘道有何作用?
________________________________________________________________________________
步驟 6:驗證管理 LAN 設定
a. 驗證交換器 VLAN 1 上管理介面的 IP 位址與 PC1 及 PC2 的 IP 位址是否在同一區域網路中。使用 show running-config 命令檢視交換器的 IP 位址設定。
b. 驗證 VLAN 1 上的介面設定。
Switch1#show interface vlan 1
此介面的頻寬是多少?______________________________________________________________
VLAN 狀態是什麼?
VLAN 1 為 __________,線路協定為__________。
步驟 7:暫停交換器成為 http 伺服器 關閉交換器用作 http 伺服器的功能。
Switch1(config)#no ip http server 步驟 8:驗證連通性
a. 要驗證主機和交換器的設定是否正確,請從主機 ping 交換器 IP 位址。
ping 是否成功?____________________________________________________________________
如果 ping 命令失敗,則重新驗證設定和連接。確保使用了正確的纜線,而且連接固定好。檢查主機和 交換器設定。
b. 儲存設定。
步驟 9:記錄主機 MAC 位址
確定並記錄 PC 網路介面卡的第 2 層位址。在每台電腦的命令提示字元視窗中輸入 ipconfig /all。
PC1 __________________________________________________
PC2 __________________________________________________
PC3 __________________________________________________
步驟 10:確定交換器獲知哪些 MAC 位址
在特權執行模式提示字元下,使用 show mac-address-table 命令來確定交換器到底獲知了哪些 MAC 位址。
Switch1#show mac-address-table 一共有多少個動態位址?_____________
現在表中一共有多少個 MAC 位址?____________
這些 MAC 位址是否與主機 MAC 位址相符?____________
步驟 11:檢視 show mac-address-table 選項 檢視 show mac-address-table 命令提供的選項。
Switch1(config)#show mac-address-table ?
可以使用哪些選項?____________________________________________________________
_____________________________________________________________________________
步驟 12:設定靜態 MAC 位址
在 FastEthernet 0/4 介面上設定靜態 MAC 位址。使用在步驟 9 中記錄的 PC2 的位址。MAC 位址 00e0.2917.1884 僅做範例說明用。
Switch1(config)#mac-address-table static 00e0.2917.1884 vlan 1 interface fastethernet 0/4
步驟 13:驗證結果
a. 驗證 MAC 位址表條目。
Switch1#show mac-address-table 現在表中有多少個動態 MAC 位址?_____________
現在表中有多少個靜態 MAC 位址?_____________
b. 從 MAC 位址表中移除靜態項目。
Switch1(config)#no mac-address-table static 00e0.2917.1884 vlan 1 interface fastethernet 0/4
步驟 14:列出連接埠安全選項
a. 確定用於在 FastEthernet 0/4 介面上設定連接埠安全的選擇性的參數有哪些。
Switch1(config)#interface fastethernet 0/4 Switch1(config-if)#switchport port-security ?
可以使用哪些選擇性的參數?_________________________________________________
b. 設定連接埠安全,使交換器連接埠 FastEthernet 0/4 只接受一台裝置。
Switch1(config-if)#switchport mode access Switch1(config-if)#switchport port-security
Switch1(config-if)#switchport port-security mac-address sticky c. 退出設定模式並檢查連接埠安全設定。
Switch1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count)
--- Fa0/4 1 0 0 Shutdown --- 如果 PC2 以外的主機嘗試連接到 Fa0/4,會發生什麼情況?
________________________________________________________________________
步驟 15:限制每個連接埠的主機數目
a. 在 FastEthernet 0/4 介面上,將連接埠安全最大 MAC 數設定為 1。
Switch1(config-if)#switchport port-security maximum 1.
b. 拔除連接到 FastEthernet 0/4 介面的 PC,將 PC3 連接到 FastEthernet 0/4 介面。PC3 已經獲得 IP 位 址 192.168.1.5,並且尚未連接到交換器。可能必須 ping 交換器位址 192.168.1.2 來產生一些流量。
記錄觀察到的任何情況。_________________________________________________________
_____________________________________________________________________________
步驟 16:設定連接埠,如果發生違反安全規則時關閉該連接埠
a. 介面應在發生違反安全規則時關閉。為使連接埠因安全性問題而自動關閉,請輸入以下命令:
Switch1(config-if)#switchport port-security violation shutdown 連接埠安全還可以使用哪些操作選項?______________________________________________
_____________________________________________________________________________
b. 如有必要,請從 PC3 192.168.1.5 ping 交換器位址 192.168.1.2。此電腦現已連接到 FastEthernet 0/4 介面,這就確保從 PC 到交換器可以通訊。
c. 記錄觀察到的任何情況。
_____________________________________________________________________________
_____________________________________________________________________________
d. 檢查連接埠安全設定。
Switch1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count)
--- Fa0/4 1 1 0 Shutdown ---
步驟 17:顯示 0/4 埠 的設定資訊
如果只想檢視高速乙太網路埠 0/4 的設定資訊,在特權執行模式提示字元下輸入 show interface fastethernet 0/4。
Switch1#show interface fastethernet 0/4 介面的狀態是什麼?
FastEthernet0/4 為 __________,線路通訊協定為 __________。
步驟 18:重新啟動連接埠
a. 如果連接埠因違反安全規則而關閉,則使用 shutdown / no shutdown 命令來重新啟動它。
b. 在帶有原埠 0/4 的主機和新的主機間切換使用,多次嘗試重新啟動此連接埠。插上原主機,對介面套用 no shutdown 命令,然後使用命令提示字元執行 ping 操作。
ping 必須重複多次;或者使用 ping 192.168.1.2 –n 200 命令。此命令將 ping 封包的數量從 4 個 變更為 200 個。然後更換主機並重試。
步驟 19:停用未使用的連接埠
停用交換器上所有未使用的連接埠。
Switch1(config)#interface range Fa0/5 - 24 Switch1(config-if-range)#shutdown
Switch1(config)#interface range gigabitethernet0/1 - 2 Switch1(config-if-range)#shutdown
步驟 20:思考
a. 為什麼要在交換器上啟用連接埠安全?________________________________________________
_______________________________________________________________________________
b. 為什麼要停用交換器上未使用的連接埠?______________________________________________
_______________________________________________________________________________