• MAC-manzillar jadvalini tozalash
  • Port-security sozlanishlari haqidagi ma’lumotlarni korish
  • Portni access rejimiga ozgartirish Sw1(config-if)switchport mode access Portda port-securityni ishga tushurish
  • Secure-MAC ni statik aniqlashni korsatish
  • Xavfsizlik buzilishigi javob berish rejimini sozlash
  • Ishlatilmayotgan portlarni ochirish
  • Sozlamalarni saqlash Switchcopy running-config startup-config Topshiriq
  • 3-LABORATORIYA ISHI TARMOQ QURILMALARI XAVFSIZLIGINI TAHLIL QILISH Ishdan maqsad
  • Cisco marshrutizatorlarida parolni tashlab yuborish
    		•

    switchport port-security violation shutdown




    Download 1,66 Mb.
    bet8/14
    Sana11.12.2023
    Hajmi1,66 Mb.
    #115384
    1   ...   4   5   6   7   8   9   10   11   ...   14
    Bog'liq
    1 – laboratoriya ishi tarmoq qurilmalarida dastlabki xavfsizlik

    switchport port-security violation shutdown- buzilish aniqlanganda interfeysni error-disabled holatiga o'tkazadi va o'chiradi. Undan tashqari syslog, SNMP trap, violetion counter ka'bi jurnallashtiruvchilarga xabar jo'natiladi. Ushbu holatdan chiqarish uchun shutdown va no shutdown buyruqlaridan foydalaniladi.
    Agar interfeysga switchport port-security violation protect buyrug'i kiritilgan bo'lsa, unda notanish MAC-manzil paketlari qabul qilinmaydi va xech qanday xabar yaratilmaydi, hamda port shutdown holatiga o'tmaydi.
    Ushbu usullardan switchport port-security violation restrict ko'pchilik hollarda tavsiya etiladi.
    MAC-manzillar jadvalini tozalash
    Boshqa qurilmalar ulanishi uchun MAC-manzillar jadvalini tozalash:
    switch# clear port-security [all|configured|dynamic|sticky] [address
    |interface ]
    switch #clear port-security all
    switch #clear port-security configured
    switch #clear port-security dynamic
    switch #clear port-security sticky
    Port-security sozlanishlari haqidagi ma’lumotlarni ko'rish
    switch# show port-security
    switch# show port-security interface fa0/3
    switch# show port-security address
    Topshiriq

    • 2.4-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzish talab qilinadi;

    • Har bir kompyuter uchun IP manzilni sozlang va MAC manzillarni 2.2- rasmda ko'rsatilgandek aniqlang;

    - Kommutatoming har bir portlariga xavfsizlik ko'rsatkichlarini sozlang;

    - 2.1-jadvalga yuqorida keltirilgan topshiriqlarni kiriting.

    2.4-rasm. Tarmoq topologiyasi.

    2.1-jadval



    Qurilma

    IP-manzil

    МАС-manzil

    Interfeys

    Port rejimlari

    Laptop0

    192.168.1.1

    00E0.F902.D683

    Fa0

    n/a

    Laptop 1

    192.168.1.2

    000B.BE9B.EE4A

    Fa0

    n/a

    Laptop2

    192.168.1.3

    00D0.5819.04E3

    Fa0

    n/a

    Laptop3

    192.168.1.4

    0004.9AB9.DAC2

    Fa0

    n/a

    Laptop4

    192.168.1.5

    00D0.BAC2.8C58

    Fa0

    n/a

    Laptop5

    192.168.1.6

    0000.0C6E.01E0

    Fa0

    n/a

    SW1

    N/A

    N/A

    Fa0/1

    sticky

    SW1

    N/A

    N/A

    Fa0/2

    mac-address
    00D0.5819.04E3

    SW1

    N/A

    N/A

    Fa0/3

    violation protect

    SW1

    N/A

    N/A

    Fa0/5-24

    Shutdown

    SW2

    N/A

    N/A

    Fa0/1

    restrict

    SW2

    N/A

    N/A

    Fa0/2

    restrict

    SW2

    N/A

    N/A

    Fa0/3

    Protect

    SW2

    N/A

    N/A

    Fa0/4

    maximum 4




    Ishni bajarish tartibi


    Switch>enable Switch#configure terminal
    Switch(config)#hostname Sw1
    Sw1(config)#interface fa0/1

    1. Portni access rejimiga o'zgartirish

    Sw1(config-if)#switchport mode access

    1. Portda port-securityni ishga tushurish

    Sw1 (config-if)#switchport port-security

    1. Secure-MAC ni dinamik aniqlashni ko'rsatish

    Sw1 (config-if)#switchport port-security mac-address sticky Sw1 (config-if)#exit

    1. Secure-MAC ni statik aniqlashni ko'rsatish

    Sw1(config)#interface fastEthernet 0/2 Sw1(config-if)#switchport mode access Sw1(config-if)#switchport port-security
    Sw1(config-if)#switchport port-security mac-address 000B.BE9B.EE4A Sw1(config-if)#end

    1. Xavfsizlik buzilishigi javob berish rejimini sozlash

    Sw1(config)#interface fastEthernet 0/3 Sw1(config-if)#switchport mode access Sw1(config-if)#switchport port-security Sw1(config-if)#switchport port-security mac-address sticky Sw1(config-if)#switchport port-security violation protect Sw1(config-if)#end

    1. Ishlatilmayotgan portlarni o'chirish

    Sw1(config)#interface range fastEthernet 0/5-24 Sw1(config-if-range)#shutdown

    1. Portda secure-MAC maksimal soni N ni ko'rsatish (Bu buyruq Sw2 kommutatorga tavsiya etiladi)

    Switch>enable Switch#configure terminal Switch(config)#hostname Sw2 Sw2(config)#interface fa0/4 Sw2(config-if)#switchport mode trunk Sw2(config-if)#switchport port-security maximum 4 Sw1(config-if)#switchport port-security violation restrict

    1. Natijani tekshirish

    Switch#show port-security interface fa 0/1
    Port Security : Enabled
    Port Status : Secure-up
    Violation Mode : Shutdown
    Aging Time : 0 mins
    Aging Type : Absolute
    SecureStatic Address Aging : Disabled
    Maximum MAC Addresses : 1
    Total MAC Addresses : 0
    Configured MAC Addresses : 0
    Sticky MAC Addresses : 0
    Last Source Address:Vlan : 0001.63B4.E4A6:1
    Security Violation Count : 0

    1. Sozlamalarni saqlash

    Switch#copy running-config startup-config
    Topshiriq
    Har bir talaba yuqorida keltirilgan ma’lumotlar bo'yicha Cisco Packet tracer muhitida laboratoriya ishini bajaradi.
    Nazorat savollari

    1. MAC-manzil bu nima va qurilmalarda qanday aniqlanadi?

    2. Kommutatorda port xavfsizligi funksiyasini nima uchun ishlatiladi?

    3. Secure-MAC maksimal sonini N qaysi holatlarda ishlatiladi?

    4. Port security asosiy atributalari keltiring.

    5. Kommutatorning xavfsizligini ta'minlashning yana qanday chorlarini bilasiz ?



    3-LABORATORIYA ISHI
    TARMOQ QURILMALARI XAVFSIZLIGINI TAHLIL QILISH


    Ishdan maqsad: Cisco kommutatorlarida va marshrutizatorlarida parolni olib tashlash (сброс) bo`yicha amaliy ko`nikmalar olish


    QISQACHA NAZARIY MA`LUMOTLAR

    Qurilma sozlamalariga kirish uchun kerak bo`ladigan parolning yo`qotilishi yoki unutilish holatlari tez-tez uchrab turadi. Ushbu laboratoriya ishida Cisco kommutatorlari va marshrutizatorlarida parollarni olib tashlash (Сброс) jarayoni ko`rib chiqiladi.
    Quyida keltiriladigan usullar qurilmaga to`g`ridan-to`g`ri konsol kabel orqali ulanishni ko`zda tutadi. Shuning uchun ham qurilma joylashgan xonaga faqat kirish huquqiga ega foydalanuvchilar kirishi, xavfsizlik nuqtai nazaridan e`tiborga olinishi kerak. Ushbu metodikalarning mohiyati quyidagicha: paroli unutilgan yoki yo`qolgan konfiguratsion faylsiz qurilmaning sozlamalariga imtiyozli rejimda (Privileged EXEC) kirish va konfiguratsion faylni almashtirish orqali barcha parollarni o`zgartirish.
    Cisco marshrutizatorlarida parolni tashlab yuborish
    Cisco marshrutizatorlarida parolni tashlab yuborish uchun qurilmaga fizik kira olish kerak, ya`ni konsol kabel orqali ulanish imkoniyati bo`lishi kerak. Marshrutizatorda konfiguratsion registr mavjud bo`lib, ushbu registr marshrutizatorning ishga tushishini boshqaradi va uning qiymatlari energiya talab qiluvchi xotirada saqlanadi.
    Configuration register – bu marshrutizatorning ishga tushishi ketma-ketligiga javob beruvchi NVRAM da joylashgan 16 bitli registr. Ya`ni marshrutizatorga operatsion tizimni va sozlanish fayllarini qaysi tartibda va qayerdan olishini ko`rsatib beradi. Uning odatiy qiymati – 2102. Qiymatning uchinchi raqami sozlanish fayliga, to`rtinchi raqami esa operatsion tizimga javob beradi. Parollar unitilishi yoki yo`qolishi holatlarida uchinchi raqamni “4” raqamga o`zgartirish kerak bo`ladi.
    Ko`pchilik marshrutizatorlarda konfiguratsion registrning qiymati – 0x2102 bo`ladi.
    Agar Cisco marshrutizatoriga kirish huquqi bor bo`lsa, unda konfiguratsion registrning qiymatini quyidagicha tekshirsa bo`ladi:
    R1#show version
    Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
    M860 processor: part number 0, mask 49
    2 FastEthernet/IEEE 802.3 interface(s)
    239K bytes of NVRAM.
    62720K bytes of processor board System flash (Read/Write)
    Configuration register is 0x2102

    Oxirgi qator konfiguratsion registr qiymatini o`z ichiga olgan bo`ladi. Endi unutilgan parolni o`zgartirish jarayoni bosqichma-bosqich ko`rib chiqiladi.


    Birinchi navbatda marshrutizatorga konsol kabel (3.1-rasm.) orqali ulanish lozim (Rollover deb ham nomlanadi).



    3.1-rasm. Konsol kabelining ko`rinishi.


    Konsol orqali ulaniladi va keyingi jarayonlarning barchasi konsol port orqali amalga oshiriladi (3.2-rasm).



    3.2-rasm. Kompyuterning kommutator qurilmasiga Console kabeli yordamida ulanishi

    Xizmat ko`rsatish maqsadlarida ishlatiladigan – ROMMON rejimida marshrutizator elektr energiyasi manbasidan o`chiriladi va qayta ishga tushiriladi (3.3-rasm).





    3.3-rasm. Cisco Packet tracer muhitida Router qurilmasining elektr ta’minotini o`chirib/yoqish tugmasi


    Marshrutizatorni ROMMON rejimida qayta ishga tushurish uchun odatiy boshlang`ich IOS ishga tushish jarayoni to`xtatiladi, buni amalga oshirish terminalga bog`liq. Masalan, hyperterminalda – “Ctrl-Break”, teratermda – “Alt-B”, Cisco Packet Tracer emulyatorida – “Ctrl-Break” va h.k.


    Qurilmaga ulanib, u qayta ishga tushiriladi va IOS ishga tushirilishida Ctrl+Break tugmalari qo`shilib bosiladi:
    System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1)
    Copyright (c) 2000 by cisco Systems, Inc.
    Initializing memory for ECC
    .c2811 processor with 524288 Kbytes of main memory
    Main memory is configured to 64 bit mode with ECC enabled
    Readonly ROMMON initialized
    Self decompressing the image :
    ##############
    monitor: command "boot" aborted due to user interrupt
    rommon 1 >

    Shu tarzda, ROMMON (ROM monitor) rejimiga kiriladi. Bu yerda konfiguratsiya registri confreg 0x2142 buyrug`i bilan o`zgartiriladi, natiyjada marshrutizator Flash xotiraga yozilgan konfiguratsion faylni ishga tushirilishida ishlatmaydi. Bundan keyin reset buyrug`ini kiritish orqali marshrutizator qayta ishga tushiriladi.


    rommon 1 > confreg 0x2142
    rommon 2 > reset
    Endi marshrutizator konfiguratsion faylsiz ishga tushadi va eski konfiguratsion faylni tiklash maqsadida quyidagi imtiyozli rejimda copy startup-config running-config buyrug`i orqali amalga oshiriladi.
    Router>enable
    Router#copy startup-config running-config
    Destination filename [running-config]?
    700 bytes copied in 0.416 secs (1682 bytes/sec)
    Router1#
    %SYS-5-CONFIG_I: Configured from console by console

    Bundan keyin paroli unutilgan eski konfiguratsiya qo`yiladi, lekin bu yerda imtiyozli rejimda turganligi uchun eski parolni yangisiga o`zgartirsa bo`ladi.


    Router1#conf t
    Router1(config)#enable password NewPassword
    Router1(config)#enable secret NewPassword
    Router1(config)#line vty 0 4
    Router1(config-line)#password NewPassword
    Router1(config-line)#login
    Router1(config-line)#exit
    Router1(config)#line console 0
    Router1(config-line)#password NewPassword
    Router1(config-line)#login
    Parollar o`zgartirildi, endi konfiguratsion registrning eski qiymatini qayta joyiga qo`yish kerak, buning uchun config-register 0x2102 buyrug`i kiritiladi
    Router1(config)# config-register 0x2102
    Bundan keyin yangi konfiguratsiya saqlanadi va marshrutizator qayta ishga tushiriladi
    Router1#copy running-config startup-config
    Router1#reload
    Marshrutizator qayta ishga tushirilgach, yangi parollar bilan saqlangan konfiguratsion faylni o`ziga oladi. Yana, no service password-recovery buyrug`ini ishlatish orqali parol tashlab yuborilishi imkoniyatini o`chirib qo`ysa bo`ladi, buning uchun yuqorida ta`kidlanganidek qurilmaga fizik kirish imkoniyati kerak.



    Download 1,66 Mb.
    1   ...   4   5   6   7   8   9   10   11   ...   14




    Download 1,66 Mb.
    Bosh sahifa
    Aloqalar
        Bosh sahifa
    Dərs
    Mühazirə
    Qaydalar
    Referat
    Xülasə
    Yazı


    switchport port-security violation shutdown

    Download 1,66 Mb.