01-web課件6securing network devices2014思科和或其附屬公司保留所有權(quán)利本所含內(nèi)容為公開發(fā)_第1頁
01-web課件6securing network devices2014思科和或其附屬公司保留所有權(quán)利本所含內(nèi)容為公開發(fā)_第2頁
01-web課件6securing network devices2014思科和或其附屬公司保留所有權(quán)利本所含內(nèi)容為公開發(fā)_第3頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、拓撲F0/5PC-AG0/1S1F0/6R1地址分配表目標第 1 部分:配置基本設(shè)備設(shè)置第 2 部分:在路由器上配置基本安全措施第 3 部分:在交換機上配置基本安全措施背景/場景建議所有網(wǎng)絡(luò)設(shè)備至少配置一組最低要求的最佳實踐安全命令。這包括最終用戶設(shè)備、服務(wù)器和網(wǎng)絡(luò)設(shè)備,例如路由器和交換機。在本實驗中,您將配置拓撲中的網(wǎng)絡(luò)設(shè)備接受 SSH 會話進行管理。您還將使用 IOS CLI 配置常見的基本最佳實踐安全措施。然后測試安全措施,確認這些措施正確實施并且正常運行。注意:CCNA 動手實驗所用的路由器是采用 Cisco IOS Release 15.2(4)M3(universalk9 映像)的

2、 Cisco 1941 ISR。所用的交換機是采用 Cisco IOS Release 15.0(2)(lanbasek9 映像)的 Cisco Catalyst 2960 系列。也可使用其他路由器、交換機以及 Cisco IOS 版本。根據(jù)型號以及 Cisco IOS 版本不同,可用命令和產(chǎn)生的輸出可能與實驗顯示的不一樣。請參考本實驗?zāi)┪驳摹奥酚善鹘涌谡怼币粤私庹_的接口標識符。注意:確保所使用的路由器和交換機的啟動配置都已擦除。如果不確定,請聯(lián)系教師。所需資源1 臺路由器(支持 Cisco IOS15.2(4)M3 版通用映像的 Cisco 1941 或同類路由器)1 臺交換機(支持

3、Cisco IOS 15.0(2) lanbasek9 版映像的 Cisco 2960 或同類交換機)1 臺 PC(采用 Windows 7、Vista 或 XP 且支持終端仿真程序,比如 Tera Term)用于通過控制臺電纜配置 Cisco IOS 設(shè)備的控制臺端口如拓撲圖所示的以太網(wǎng)電纜第 1 頁,共 8 頁設(shè)備接IP 地址子網(wǎng)掩碼默認網(wǎng)關(guān)R1G0/1192.168.1.1255.255.255.0未提供S1VLAN 1192.168.1.11255.255.255.0192.168.1.1PC-A網(wǎng)卡192.168.1.3255.255.255.0192.168.1.1口第 1 部分:

4、配設(shè)備的基本設(shè)置在第 1 部分中,您將建立網(wǎng)絡(luò)拓撲并配置基本設(shè)置,例如接口 IP 地址、設(shè)備和路由器。第 1 步:建立如拓撲圖所示的網(wǎng)絡(luò)。按照拓撲圖所示連接設(shè)備和電纜。第 2 步:初始化并重新加載路由器和交換機。第 3 步:配置路由器。有關(guān) SSH 需要使用令,請參考之前的實驗獲取幫助。a.b.c.d.e.f.g.h.i.j.k.通過控制臺連接到路由器并啟用進入配置模式。將路由器名稱指定為 R1。EXEC 模式。禁用 DNS 查找,以防路由器嘗試將輸入有誤令視為主機名進行轉(zhuǎn)換。指定 class 作為EXEC 加密。指定 cisco 作為控制臺并啟用登錄。指定 cisco 作為 vty加密明文。

5、并啟用登錄。創(chuàng)建一個向設(shè)備者發(fā)出警告的標語:,。使用地址分配表中包含的信息配置并激活路由器上的 G0/1 接口。將運行配置保存到啟動配置文件中。第 4 步:配置交換機。a.b.c.d.e.f.g.h.i.j.k.EXEC 模式。通過控制臺連接到交換機并啟用進入配置模式。將交換機名稱指定為 S1。禁用 DNS 查找,以防路由器嘗試將輸入有誤令視為主機名進行轉(zhuǎn)換。指定 class 作為EXEC 加密。指定 cisco 作為控制臺并啟用登錄。指定 cisco 作為 vty加密明文。并啟用登錄。創(chuàng)建一個向設(shè)備者發(fā)出警告的標語:,。使用地址分配表中包含的 IP 地址信息配置默認 SVI。將運行配置保存到

6、啟動配置文件中。第 2 頁,共 8 頁置第 2 部分:在路由器上配置基本安全措施第 1 步:提高強度。管理員應(yīng)確小長度。碼符合強的標準原則。這些原則包括在中混合使用字母、數(shù)字和特殊字符并且設(shè)置最注意:最佳實踐原則要求在生產(chǎn)環(huán)境中使用強,例如此處所述內(nèi)容。不過為了便于實驗,本課程中的其他cisco 和 class。實驗使用a.EXEC 加密更改,使其符合原則。R1(config)# enable secret Enablep55要求所有至少包含 10 個字符。R1(config)# security passwords min-length 10b.第 2 步:啟用 SSH 連接。a.指定R1(

7、config)# ip。-nameb.創(chuàng)建一個通過 SSH 連接到路由器時使用的本地用戶數(shù)據(jù)庫條目。管理員級別的權(quán)限。R1(config)# username admin privilege 15 secret Admin15p55應(yīng)符合強標準,并且用戶應(yīng)具有c.配置 vty 線路的 transport input,以便其接受 SSH 連接,而不允許R1(config)# line vty 0 4R1(config-line)# transport input sshvty 線路應(yīng)使用本地用戶數(shù)據(jù)庫進行驗證。R1(config-line)# login localR1(config-line)

8、# exit使用系數(shù) 1024 位,生成 RSA 加密密鑰。R1(config)# crypto key generate rsa modulus 1024The name for the keys will be:net 連接。d.e.% The key modulus size is 1024 bits% Generating 1024 bit RSA keys, keys will be non-exportable. OK (elapsed time was 2 seconds)R1(config)#*Jan 31 17:54:16.127: %SSH-5-ENABLED: SSH 1

9、.99 has been enabled第 3 步:保護控制臺線路和 vty 線路。a. 您可設(shè)置路由器,使其注銷空閑時間達到指定時間的連接。如果網(wǎng)絡(luò)管理員登錄到一臺網(wǎng)絡(luò)設(shè)備上,然后突然有事離開,此命令便會在指定時間后自動將該用戶注銷。以下命令可路閑置 5 分鐘后注銷線路。R1(config)#line console 0R1(config-line)#exec-timeout 5 0第 3 頁,共 8 頁R1(config-line)#line vty 0 4R1(config-line)#exec-timeout 5 0R1(config-line)# exitR1(config)#b.

10、以下命令用于防止 為了方便實驗,此處型登錄嘗試。如果有人在 120 秒內(nèi)登錄失敗兩次,路由器將該值特意設(shè)得較低。其嘗試登錄 30 秒。R1(config)#login block-for 30 attempts 2 within 120上述命令中的 2 within 120 表示什么意思?上述命令中的 block-for 30 表示什么意思?第 4 步:檢驗所有未使用的端口是否已禁用。默認情況下,路由器端口處于禁用狀態(tài),但最好檢驗一下所有未使用的端口是否處于管理性關(guān)閉狀態(tài)。通過發(fā)出 show iperface brief 命令可以進行快速檢查。對于未處于管理性關(guān)閉狀態(tài)的未使用端口,可在接口配置

11、模式下使用 shutdown 命令禁用端口。R1# show iperfaceerface briefIP-AddressOK? YES YES YES YESYESMethod NVRAM NVRAMmanual NVRAMNVRAMSusProtocol down downup downdownEmbedded-Service-Engine0/0 GigabitEthernet0/0 GigabitEthernet0/1 Serial0/0/0Serial0/0/1R1#unassigned unassigned 192.168.1.1unassignedunassignedadminis

12、tratively administratively up administrativelyadministrativelydowndowndowndown第 5 步:檢驗?zāi)陌踩胧┦欠裾_實施。a.使用 Tera Term 通過net 連接到 R1。R1 是否接受原因是什么?net 連接?b.使用 Tera Term 通過 SSH 連接到 R1。R1 是否接受 SSH 連接?c.有意輸錯用戶和信息,以查看嘗試兩次后是否會。第二次登錄失敗后,將會發(fā)生什么情況?d.從路由器的控制臺會話,發(fā)出 show login 命令,以查看登錄狀態(tài)。在下面的示例中,show login 命令是在 30 秒登

13、錄秒。期內(nèi)發(fā)出的,結(jié)果顯示路由器處于靜默模式。路由器不接受任何登錄嘗試的時間延長 14R1# show loginA default login delay of 1 second is appd.第 4 頁,共 8 頁No Quiet-Mode acs liss been configured.Router enabledto watch for login Attacks.login failures occur in 120 seconds or less, disabled for 30 seconds.If moren 2logins will beRoutresently in Q

14、uiet-Mode.Will remain in Quiet-Mode for 14 seconds.Denying logins from all sour.R1#達到 30 秒之后,通過 SSH 重新連接 R1,并使用用戶名 admin 和成功登錄后將會顯示什么內(nèi)容?e.Admin15p55 登錄。f.進入如果輸錯EXEC 模式并使用 Enablep55 作為。,在 120 秒內(nèi)嘗試失敗兩次后,您是否會從 SSH 會話斷開?原因是什么?g.在EXEC 提示符下發(fā)出 show running-config 命令,以查看您應(yīng)用的安全設(shè)置。第 3 部分:在交換機上配置基本安全措施第 1 步:提高

15、交換機的強度。更改EXEC 加密,使其符合強原則。S1(config)# enable secret Enablep55注意:安全 password min-length 命令在 2960 系列交換機上不可用。第 2 步:啟用 SSH 連接。a.指定S1(config)# ip。-nameb.創(chuàng)建一個通過 SSH 連接到路由器時使用的本地用戶數(shù)據(jù)庫條目。管理員級別的權(quán)限。應(yīng)符合強標準,并且用戶應(yīng)具有S1(config)# username admin privilege 15 secret Admin15p55配置 vty 線路的 transport input,以便允許 SSH 連接,而不允

16、許net 連接。S1(config)# line vty 0 15S1(config-line)# transport input sshvty 線路應(yīng)使用本地用戶數(shù)據(jù)庫進行驗證。S1(config-line)# login localS1(config-line)# exit使用系數(shù) 1024 位,生成 RSA 加密密鑰。S1(config)# crypto key generate rsa modulus 1024c.d.e.第 5 頁,共 8 頁第 3 步:保護控制臺線路和 vty 線路。a.使交換機注銷閑置時間達到 10 分鐘的線路。S1(config)# line S1(config

17、-line)# S1(config-line)# S1(config-line)# S1(config-line)#S1(config)#console 0exec-timeout 10 0line vty 0 15exec-timeout 10 0 exitb.登錄嘗試,則配置交換機在 120 秒內(nèi)嘗試失敗兩次后該值特意設(shè)得較低。30 秒。為了方便實驗,此要處登錄S1(config)# login block-for 30 attempts 2 withinS1(config)# end120第 4 步:檢驗所有未使用的端口是否已禁用。默認情況下,交換機端口處于啟用狀態(tài)。關(guān)閉交換機上未使用的

18、所有端口。a.使用 show iperface brief 命令可以檢驗交換機端口狀態(tài)。erface briefS1# showerface Vlan1ipOK?Method SusIP-Address 192.168.1.11unassignedunassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned

19、unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassignedProtocol updowndown down down up up down down down down down down down down down down down down down down down down down down down downYES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES

20、 YES YES YES YES YES YES YES YES YES YESmanual unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unsetup down down down down up up down down down down down down down down down down down down down down

21、 down down down down down downFastEthernet0/1 FastEthernet0/2 FastEthernet0/3 FastEthernet0/4 FastEthernet0/5 FastEthernet0/6 FastEthernet0/7 FastEthernet0/8 FastEthernet0/9 FastEthernet0/10 FastEthernet0/11 FastEthernet0/12 FastEthernet0/13 FastEthernet0/14 FastEthernet0/15 FastEthernet0/16 FastEth

22、ernet0/17 FastEthernet0/18 FastEthernet0/19 FastEthernet0/20 FastEthernet0/21 FastEthernet0/22 FastEthernet0/23 FastEthernet0/24 GigabitEthernet0/1 GigabitEthernet0/2第 6 頁,共 8 頁S1#使用b.erface range 命令可以一次關(guān)閉多個接口。S1(config)#erface range f0/14, f0/7-24 , g0/1-2S1(config-if-range)# shutdownS1(config-if-r

23、ange)# endS1#檢驗所有非活動接口是否已管理性關(guān)閉。c.S1# showerface Vlan1iperface briefIP-Address 192.168.1.11unassignedunassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned un

24、assigned unassigned unassigned unassigned unassignedOK?Method SusProtocol updowndown down down up up down down down down down down down down down down down down down down down down down down down downYES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES

25、YES YESmanual unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unsetup administratively administratively administratively administratively upup administratively administratively administratively admi

26、nistratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administrativelyFastEthernet0/1

27、FastEthernet0/2 FastEthernet0/3 FastEthernet0/4 FastEthernet0/5 FastEthernet0/6 FastEthernet0/7 FastEthernet0/8 FastEthernet0/9 FastEthernet0/10 FastEthernet0/11 FastEthernet0/12 FastEthernet0/13 FastEthernet0/14 FastEthernet0/15 FastEthernet0/16 FastEthernet0/17 FastEthernet0/18 FastEthernet0/19 Fa

28、stEthernet0/20 FastEthernet0/21 FastEthernet0/22 FastEthernet0/23 FastEthernet0/24down down downdowndown down down down down down down down down down down down down down down down down down down downGigabitEthernet0/1GigabitEthernet0/2 S1#unassignedunassigned第 5 步:檢驗?zāi)陌踩胧┦欠裾_實施。a.b.c.檢驗交換機上已禁用net。通過 SSH 連接到交換機并有意輸錯用戶和信息,以查看是否登錄。達到 30 秒之后,通過 SSH 重新連接 S1,并使用用戶名 admin 和成功登錄后是否顯示了標語?Admin15p55 登錄。d.使用 Enablep55 作

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論