Міністерство освіти і науки України
ДВНЗ «Криворізький національний університет»
Кафедра комп’ютерних систем та мереж
ЗВІТ
до лабораторних робіт
з дисципліни “Комп’ютерні мережі ”
Виконав: ст. гр. ЗКСМ-09
Прохоров А.Ф.
Прийняв: Чубаров В.А.
Кривий Ріг
2013
Лабораторна робота №1
Тема: Базові настройки безпеки комутатора.
Мета: Виконати настройку безпеки комутатора із використанням командного
рядка операційної системи Cisco IOS.
Хід роботи
1. Запустимо емулятор Cisco Packet Tracer. На робочу область дістанемо комутатор Cisco 2960 та дві робочі станції РС0 та РС1. З’єднаємо їх.
РС0 приєднаємо до комутатора на порт FastEthernet 0/1, а РС1 – на порт FastEthernet0/4. Крім того РС0 з’єднуємо із комутатором консольним кабелем Console.
Задамо робочим станціям РС0 та РС1 наступні параметри.
Робоча станція |
ІР адреса |
Маска підмережі |
Шлюз за замовчуванням |
РС0 |
192.168.1.3 |
255.255.255.0 |
192.168.1.1 |
РС1 |
192.168.1.4 |
255.255.255.0 |
192.168.1.1 |
2. Подальші дії виконуємо в командному рядку Cisco IOS робочої станції РС0. В якості імені комутатора задаємо прізвище.
Switch>enable
Switch#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname Prohorov
Prohorov(config)#enable password cisco
Prohorov(config)#exit
3. Задаємо пароль на вхід у привілейований режим EXEC. В якості паролю візьмемо слово cisco.
Prohorov(config)#enable password cisco
4. Вийти можна із привілейованого режиму командами exit та disable. Знову увійдемо в привілейований режим командою enable. Тепер
для цього необхідно буде ввести пароль.
Prohorov>enable
Password:
5. Задамо пароль із шифруванням. В якості паролю візьмемо слово class. При спробі знову вийти і увійти в привілейований режим командою система запитує пароль class.
Prohorov(config)#enable secret class
Вкажемо необхідність використання паролю для віртуального терміналу та консолі. В якості паролю задамо слово cisco.
Rimarev>enable
Password:
Prohorov#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Prohorov(config)#line console 0
Prohorov(config-line)#password cisco
Prohorov(config-line)#login
Prohorov(config-line)#line vty 0 15
Prohorov(config-line)#password cisco
Prohorov(config-line)#login
Prohorov(config-line)#end
Prohorov#
6. Завершимо сеанс консолі та увійдемо в систему знову. Для цього
необхідно буде ввести пароль cisco.
Prohorov#disable
Prohorov>enable
Password:
Prohorov#
7. Увійдемо в режим конфігурації інтерфейсу VLAN 1 та задамо ІР-адресу, маску за замовчанням та шлюз для інтерфейсу VLAN 1.
Prohorov(config)#interface vlan 1
Prohorov(config-if)#ip address 192.168.1.2 255.255.255.0
Prohorov(config-if)#no shutdown
Prohorov(config-if)#exit
Prohorov(config)#ip default-gateway 192.168.1.1
Prohorov(config)#end
Prohorov#
8. Перевіримо настройки комутатора за допомогою наступної команди show running-config
Prohorov#show running-config
Building configuration...
Current configuration : 1206 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Prohorov
!
enable secret 5 $1$mERr$9cTjUIEqNGurQiFU.ZeCi1
enable password cisco
!
!
spanning-tree mode pvst
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet1/1
!
interface GigabitEthernet1/2
!
interface Vlan1
ip address 192.168.1.2 255.255.255.0
!
ip default-gateway 192.168.1.1
!
!
line con 0
password cisco
login
!
line vty 0 4
password cisco
login
line vty 5 15
password cisco
login
!
!
end
Prohorov#
9. Перевіримо настройки інтерфейсу VLAN 1 та його параметри за допомогою наступної команди show interfaces vlan 1.
Prohorov#show interface vlan 1
Vlan1 is up, line protocol is up
Hardware is CPU Interface, address is 00e0.b021.2481 (bia 00e0.b021.2481)
Internet address is 192.168.1.2/24
MTU 1500 bytes, BW 100000 Kbit, DLY 1000000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00
Last input 21:40:21, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
1682 packets input, 530955 bytes, 0 no buffer
Received 0 broadcasts (0 IP multicast)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
563859 packets output, 0 bytes, 0 underruns
0 output errors, 23 interface resets
0 output buffer failures, 0 output buffers swapped out
Rimarev#
10. За допомогою команди ping перевіримо працездатність з’єднання між двома робочими станціями.
PC>ping 192.168.1.4
Pinging 192.168.1.4 with 32 bytes of data:
Reply from 192.168.1.4: bytes=32 time=125ms TTL=128
Reply from 192.168.1.4: bytes=32 time=63ms TTL=128
Reply from 192.168.1.4: bytes=32 time=63ms TTL=128
Reply from 192.168.1.4: bytes=32 time=63ms TTL=128
Ping statistics for 192.168.1.4:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 63ms, Maximum = 125ms, Average = 78ms
11. За допомогою команди ping перевірити працездатність з’єднання між робочими станціями та комутатором.
PC>ping 192.168.1.2
Pinging 192.168.1.2 with 32 bytes of data:
Reply from 192.168.1.2: bytes=32 time=31ms TTL=255
Reply from 192.168.1.2: bytes=32 time=31ms TTL=255
Reply from 192.168.1.2: bytes=32 time=31ms TTL=255
Reply from 192.168.1.2: bytes=32 time=17ms TTL=255
Ping statistics for 192.168.1.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Mini mum = 17ms, Maximum = 31ms, Average = 27ms
12. За допомогою команди ipconfig /all визначимо МАС-адресу кожного вузла та запишемо у таблицю.
Робоча станція |
МАС-адреса |
РС0 |
0001.C94A.77D9 |
РС1 |
0001.C982.1230 |
13. Визначимо МАС-адреси, що були отримані комутатором. Для цього
скористаємося наступною командою show mac-address-table.
Prohorov#show mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
Prohorov#
14. Переглянемо параметри, що доступні в команді show mac-address-table ?
Prohorov#show mac-address-table ?
dynamic dynamic entry type
interfaces interface entry type
static static entry type
<cr>
Prohorov#show mac-address-table ?
15. Задамо статичну МАС-адресу на інтерфейсі FastEthernet 0/4. Після чого переглянемо таблицю МАС-адресів комутатора.
Prohorov#show mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0001.C982.1230 STATIC Fa0/4
Prohorov#
Як бачимо з’явилася одна статистична адреса у таблиці МАС-адресів комутатора.
16. Видалимо статичну МАС-адресу із таблиці МАС-адрес комутатора.
17. Виконаємо настройку конфігурації безпеки порту FastEthernet 0/4 таким чином, щоб він міг приймати тільки один пристрій.
Prohorov(config)#interface fastEthernet 0/4
Prohorov(config-if)#switchport mode access
Prohorov(config-if)#switchport port-security
Rimarev(config-if)#switchport port-security mac-address sticky
Prohorov(config-if)#exit
Prohorov(config)#exit
Prohorov#
18. Перевіримо настройки безпеки порту.
Prohorov#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------
Fa0/4 1 0 0 Shutdown
----------------------------------------------------------------------
19. На інтерфейсі FastEthernet 0/4 встановимо значення максимальної кількості МАС-адресів порту рівним 1.
Prohorov(config)#interface fastEthernet 0/4
Prohorov(config-if)#switchport port-security maximum 1
20. Від’єднаємо комп’ютер РС1 від порту FastEthernet 0/4 і приєднаємо до цього порту інший комп’ютер РС2 (встановивши його додатково на робочу область).
Для РС2 задамо нижченаведені параметри:
ІР-адреса 192.168.1.5
Маска підмережі 255.255.255.0
Шлюз за замовчуванням 192.168.1.1
З комп’ютера РС2 за допомогою команди ping перевіримо з’єднання між
РС2 та РС0.
PC>ping 192.168.1.3
Pinging 192.168.1.3 with 32 bytes of data:
Reply from 192.168.1.3: bytes=32 time=125ms TTL=128
Reply from 192.168.1.3: bytes=32 time=63ms TTL=128
Reply from 192.168.1.3: bytes=32 time=63ms TTL=128
Reply from 192.168.1.3: bytes=32 time=63ms TTL=128
Ping statistics for 192.168.1.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 63ms, Maximum = 125ms, Average = 78ms
PC>
21. Налаштуємо порт FastEthernet 0/4 таким чином, щоб він вимикався при
порушенні безпеки.
Prohorov(config-if)#switchport mode access
Prohorov(config-if)#switchport port-security
Prohorov(config-if)#switchport port-security maximum 1
Prohorov(config-if)#switchport port-security mac-address sticky
Prohorov(config-if)#switchport port-security violation shutdown
Prohorov(config-if)#end
Prohorov#
22. Знову перевіримо настройки безпеки порту.
Prohorov#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------
Fa0/4 1 1 0 Shutdown
----------------------------------------------------------------------
Та переглянемо інформацію про інтерфейс
Prohorov#show interface fastEthernet 0/4
FastEthernet0/4 is up, line protocol is up (connected)
Hardware is Lance, address is 0000.0c96.d904 (bia 0000.0c96.d904)
BW 100000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s
input flow-control is off, output flow-control is off
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:08, output 00:00:05, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue :0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
956 packets input, 193351 bytes, 0 no buffer
Received 956 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 watchdog, 0 multicast, 0 pause input
0 input packets with dribble condition detected
2357 packets output, 263570 bytes, 0 underruns
0 output errors, 0 collisions, 10 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
Rimarev#
23. Від’єднаємо комп’ютер РС2 і знову до порту FastEthernet 0/4 приєднаємо
комп’ютер РС1.
З комп’ютера РС1 за допомогою команди ping перевіримо з’єднання між
РС1 та РС0.
PC>ping 192.168.1.3
Pinging 192.168.1.3 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.1.3:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Prohorov#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------
Fa0/4 1 1 1 Shutdown
----------------------------------------------------------------------
В результаті цієї команди з’єднання між комп’ютерами РС1 та РС0 не відбулося так як спрацювала безпека порту FastEthernet 0/4.
При перевірки настройки безпеки порту визначаємо, що порт вимкнувся.
24. Коли при порушенні безпеки порт вимкнувся, ми його знову вмикаємо ввівши наступне
Prohorov(config-if)#shutdown
%LINK-5-CHANGED: Interface FastEthernet0/4, changed state to administratively down
Prohorov(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/4, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/4, changed state to up
Prohorov(config-if)#
Тобто можемо зробити висновок, що якщо порт ввімкнути з’єднання все рівно не буде тому що спрацьовує безпека порту яку ми ввели у настройки раніше. Система вимикає порт FastEthernet 0/4 та блокує всі з’єднання окрім з РС2.
25. Знову від’єднуємо комп’ютер РС1 від порту FastEthernet 0/4 і приєднуємо до цього порту комп’ютер РС2. З комп’ютера РС2 за допомогою команди ping перевіряємо з’єднання між РС2 та РС0.
PC>ping 192.168.1.3
Pinging 192.168.1.3 with 32 bytes of data:
Reply from 192.168.1.3: bytes=32 time=63ms TTL=128
Reply from 192.168.1.3: bytes=32 time=63ms TTL=128
Reply from 192.168.1.3: bytes=32 time=62ms TTL=128
Reply from 192.168.1.3: bytes=32 time=62ms TTL=128
Ping statistics for 192.168.1.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 62ms, Maximum = 63ms, Average = 62ms
PC>
Так як безпека порту не порушена іде з’єднання.
26. Вимкнемо порти комутатора, що не використовуються (0/3 - 3, 0/5 - 24)
Prohorov(config)#inter
Prohorov(config)#interface range fa 0/3 - 3
Prohorov(config-if-range)#shutdown
%LINK-5-CHANGED: Interface FastEthernet0/3, changed state to administratively down
Prohorov(config-if-range)#exit
Prohorov(config)#interface range fa 0/5 - 24
Prohorov(config-if-range)#shutdown
%LINK-5-CHANGED: Interface FastEthernet0/5, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/6, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/7, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/9, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/10, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/11, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/12, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/13, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/14, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/15, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/16, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/17, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/18, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/19, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/20, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/21, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/22, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/23, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/24, changed state to administratively down
Prohorov(config-if-range)#exit
Prohorov(config)#
Висновки: в ході даної лабораторної роботи були розглянуті базові настройки безпеки комутатора із використанням командного рядка операційної системи Cisco IOS. Зокрема, ми навчилися задавати ім’я комутатору, пароль, пароль з шифруванням, ІР-адресу, маску за замовчанням та шлюз для інтерфейсу VLAN 1. Перевіряти настройку, переглядати та видаляти таблицю МАС-адресів комутатора. Задавати статичну МАС-адресу на інтерфейсі FastEthernet. Перевіряти, вмикати, вимикати та настроювати безпеку порту.