Главная › Форумы › SOFTWARE › Cisco lessons and setup › Реализация системы безопасности сети VLAN Cisco
Помечено: Cisco, VLAN, безопасности, Реализация, сети, системы
- В этой теме 0 ответов, 1 участник, последнее обновление 5 лет, 5 месяцев назад сделано E-tec.
-
АвторСообщения
-
03.07.2019 в 20:02 #890
Таблица адресации
Устройство Интерфейс IP-адрес Маска подсети Шлюз по умолчанию S1 VLAN 99 172.17.99.11 255.255.255.0 172.17.99.1 S2 VLAN 99 172.17.99.12 255.255.255.0 172.17.99.1 PC-A Сетевой адаптер 172.17.99.3 255.255.255.0 172.17.99.1 PC-B Сетевой адаптер 172.17.10.3 255.255.255.0 172.17.10.1 PC-C Сетевой адаптер 172.17.99.4 255.255.255.0 172.17.99.1 Назначения VLAN
VLAN Имя 10 Данные 99 Сеть Management&Native 999 Чёрный список Задачи
Часть 1. Построение сети и настройка базовых параметров устройства
Часть 2. Внедрение средств обеспечения безопасности VLAN на коммутаторахИсходные данные/Сценарий
Рекомендуется настраивать базовые параметры системы безопасности как на портах доступа, так и на транковых портах коммутатора. Это позволяет защитить сеть VLAN от угроз и возможного прослушивания сетевого трафика.
В этой работе вам предстоит настроить на сетевых устройствах в топологии некоторые базовые параметры, проверить подключение, а затем применить на коммутаторах более надёжные меры безопасности. Вы изучите поведение коммутаторов Cisco при использовании различных команд show. Затем вам нужно будет применить меры безопасности.
Примечание. Убедитесь, что информация из коммутаторов удалена, и они не содержат конфигурации загрузки.
Необходимые ресурсы:
- 2 коммутатора (Cisco 2960 под управлением ОС Cisco IOS 15.0(2), образ lanbasek9 или аналогичная модель);
- 3 компьютера;
- консольные кабели для настройки устройств Cisco IOS через консольные порты;
- кабели Ethernet, расположенные в соответствии с топологией.
Часть 1: Построение сети и настройка базовых параметров устройства
В первой части Вам нужно настроить базовые параметры на коммутаторах и компьютерах. Имена и адреса устройств указаны в таблице адресации.
Шаг 1: Подключите кабели в сети в соответствии с топологией.
Шаг 2: Настройте IP-адреса на узлах PC-A, PC-B и PC-C.
Адреса узловых ПК можно посмотреть в таблице адресации.
Шаг 3: Настройте базовые параметры каждого коммутатора.
- Отключите поиск DNS.
- Присвойте имена устройствам в соответствии с топологией.
- Назначьте class в качестве пароля привилегированного режима EXEC.
- Назначьте cisco в качестве пароля паролей консоли и VTY и активируйте вход для консоли и VTY каналов.
- Настройте logging synchronous для консоли и каналов vty.
Шаг 4: Настройте сети VLAN на каждом коммутаторе.
aСоздайте и назначьте имена сетям VLAN в соответствии с таблицей назначений VLAN.- Настройте IP-адрес, указанный в таблице адресации для сети VLAN 99 на обоих коммутаторах.
- Настройте порт F0/6 на коммутаторе S1 в качестве порта доступа и назначьте его сети VLAN 99.
- Настройте порт F0/11 на коммутаторе S2 в качестве порта доступа и назначьте его сети VLAN 10.
- Настройте порт F0/18 на коммутаторе S2 в качестве порта доступа и назначьте его сети VLAN 99.
- Выполните команду show vlan brief, чтобы проверить назначения VLAN и портов.
Шаг 5: Настройте базовые параметры безопасности порта.
a. Настройте баннер MOTD (сообщение дня) для предупреждения пользователей о запрете несанкционированного доступа.
b. Зашифруйте все пароли.
c. Отключите все неиспользуемые физические порты.
d. Отключите основной текущий веб-сервис.S1(config)# no ip http server
S2(config)# no ip http server
e. Сохраните текущую конфигурацию в загрузочную конфигурацию.
Шаг 6: Проверьте подключение между устройствами и сведения о VLAN.
- Из командной строки на ПК-А отправьте эхо-запрос на административный адрес коммутатора S1.
- От коммутатора S1 отправьте эхо-запрос на административный адрес коммутатора S2.
- Из командной строки на PC-B отправьте эхо-запрос на административные адреса коммутаторов S1 и S2 и на IP-адреса PC-A и PC-C.
- Из командной строки узла PC-C отправьте эхо-запрос на административные адреса коммутаторов S1 и S2.
Примечание. Для успешной передачи эхо-запросов может потребоваться отключение брандмауэра.
Часть 2: Реализация системы безопасности сети VLAN на коммутаторах
Шаг 1: Настройте транковые порты на коммутаторах S1 и S2.a. Настройте порт F0/1 на коммутаторе S1 в качестве транкового порта.
S1(config)# interface f0/1
S1(config-if)# switchport mode trunk
b. Настройте порт F0/1 на коммутаторе S2 в качестве транкового порта.
S2(config)# interface f0/1
S2(config-if)# switchport mode trunk
c. Проверьте транковую связь на коммутаторах S1 и S2. Выполните команду show interface trunk на обоих коммутаторах.
S1# show interface trunk
Шаг 2: Измените сеть native VLAN для транковых портов на коммутаторах S1 и S2.
Изменение сети native VLAN для транковых портов с VLAN 1 на другую сеть VLAN — это хороший способ обеспечения безопасности.
a. Укажите текущую сеть native VLAN для интерфейсов F0/1 коммутаторов S1 и S2.
b. Настройте сеть Management&Native VLAN 99 на транковом интерфейсе F0/1 коммутатора S1 в качестве сети native VLAN.
S1# config t
S1(config)# interface f0/1
S1(config-if)# switchport trunk native vlan 99
c. Подождите несколько секунд. Вы должны получить сообщения об ошибке в консольном сеансе на коммутаторе S1.
d. Настройте сеть VLAN 99 на транковом интерфейсе F0/1 коммутатора S2 в качестве сети native
VLAN.S2(config)# interface f0/1
S2(config-if)# switchport trunk native vlan 99
e. Убедитесь, что сетью native VLAN на обоих коммутаторах является VLAN 99. Ниже показаны выходные данные коммутатора S1.
S1# show interface trunk
Шаг 3: Убедитесь, что трафик успешно проходит через транковый канал.
a. Из командной строки на ПК-А отправьте эхо-запрос на административный адрес коммутатора S1.
b. В консольном сеансе на коммутаторе S1 отправьте эхо-запрос на административный адрес коммутатора S2.
c. Из командной строки на PC-B отправьте эхо-запрос на административные адреса коммутаторов S1 и S2 и на IP-адреса PC-A и PC-C.
d. Из командной строки на PC-С отправьте эхо-запрос на административные адреса коммутаторов S1 и S2 и на IP-адрес узла PC-A.
Шаг 4: Запретите использование DTP на коммутаторах S1 и S2.
На коммутаторах Cisco используется собственный протокол, который известен как протокол динамического создания транкового канала (DTP). Некоторые порты автоматически согласовываются для транковой связи. Согласование рекомендуется отключать. Такое поведение по умолчанию можно увидеть, выполнив следующую команду:
S1# show interface f0/1 switchport
a. Отключите согласование на коммутаторе S1.
S1(config)# interface f0/1
S1(config-if)# switchport nonegotiate
b. Отключите согласование на коммутаторе S2.S2(config)# interface f0/1
S2(config-if)# switchport nonegotiate
c. Убедитесь, что согласование отключено, с помощью команды show interface f0/1 switchport на коммутаторах S1 и S2.
S1# show interface f0/1 switchport
Шаг 5: Настройте функцию безопасности на портах доступа на коммутаторах S1 и S2.
Если устройство подключено к одному из этих портов, а интерфейс включён, транковая связь может быть успешной, даже если вы выключите на коммутаторах неиспользуемые оставшиеся порты. Кроме того, все порты по умолчанию находятся в сети VLAN 1. Рекомендуется перевести неиспользуемые порты в сеть VLAN «чёрной дыры». На данном этапе вам нужно отключить транковую связь на всех неиспользуемых портах. Также вам нужно назначить неиспользуемые порты сети VLAN 999. Для этой лабораторной работы на обоих коммутаторах будут настроены только порты со 2-го по 5-й.
a. Выполните команду show interface f0/2 switchport на коммутаторе S1. Обратите внимание на административный режим и состояние для согласования транковой связи.
S1# show interface f0/2 switchport
b. Отключите транковую связь на портах доступа коммутатора S1.
S1(config)# interface range f0/2 – 5
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan 999
c. Отключите транковую связь на портах доступа коммутатора S2.
d. Убедитесь, что порт F0/2 на коммутаторе S1 настроен в качестве порта доступа.
S1# show interface f0/2 switchport
e. Убедитесь, что назначения портов VLAN настроены верно на обоих коммутаторах. Коммутатор S1 показан ниже в качестве примера.
S1# show vlan brief
По умолчанию все сети VLAN имеют доступ к транковым портам. Из соображений безопасности рекомендуется разрешать доступ к транковым каналам вашей сети только для нужных сетей VLAN.
f. Разрешите доступ к транковому порту F0/1 на коммутаторе S1 только для сетей VLAN 10 и 99.
S1(config)# interface f0/1
S1(config-if)# switchport trunk allowed vlan 10,99
g. Разрешите доступ к транковому порту F0/1 на коммутаторе S2 только для сетей VLAN 10 и 99.
h. Проверьте разрешённые сети VLAN. Выполните команду show interface trunk в привилегированном режиме на коммутаторах S1 и S2.
S1# show interface trunk
-
АвторСообщения
- Для ответа в этой теме необходимо авторизоваться.