Geek-Speak

Реализация системы безопасности сети VLAN Cisco

Главная Форумы SOFTWARE Cisco lessons and setup Реализация системы безопасности сети VLAN Cisco

Помечено: , , , , ,

Просмотр 1 сообщения - с 1 по 1 (всего 1)
  • Автор
    Сообщения
  • 03.07.2019 в 20:02 #890
    E-tec
    Хранитель

      Топология

      Таблица адресации

      УстройствоИнтерфейсIP-адресМаска подсетиШлюз по умолчанию
      S1VLAN 99172.17.99.11255.255.255.0172.17.99.1
      S2VLAN 99172.17.99.12255.255.255.0172.17.99.1
      PC-AСетевой адаптер172.17.99.3255.255.255.0172.17.99.1
      PC-BСетевой адаптер172.17.10.3255.255.255.0172.17.10.1
      PC-CСетевой адаптер172.17.99.4255.255.255.0172.17.99.1

      Назначения VLAN

      VLANИмя
      10Данные
      99Сеть Management&Native
      999Чёрный список

      Задачи

      Часть 1. Построение сети и настройка базовых параметров устройства
      Часть 2. Внедрение средств обеспечения безопасности VLAN на коммутаторах

      Исходные данные/Сценарий

      Рекомендуется настраивать базовые параметры системы безопасности как на портах доступа, так и на транковых портах коммутатора. Это позволяет защитить сеть VLAN от угроз и возможного прослушивания сетевого трафика.

      В этой работе вам предстоит настроить на сетевых устройствах в топологии некоторые базовые параметры, проверить подключение, а затем применить на коммутаторах более надёжные меры безопасности. Вы изучите поведение коммутаторов Cisco при использовании различных команд show. Затем вам нужно будет применить меры безопасности.

      Примечание. Убедитесь, что информация из коммутаторов удалена, и они не содержат конфигурации загрузки.

      Необходимые ресурсы:

      • 2 коммутатора (Cisco 2960 под управлением ОС Cisco IOS 15.0(2), образ lanbasek9 или аналогичная модель);
      • 3 компьютера;
      • консольные кабели для настройки устройств Cisco IOS через консольные порты;
      • кабели Ethernet, расположенные в соответствии с топологией.

      Часть 1: Построение сети и настройка базовых параметров устройства

      В первой части Вам нужно настроить базовые параметры на коммутаторах и компьютерах. Имена и адреса устройств указаны в таблице адресации.

      Шаг 1: Подключите кабели в сети в соответствии с топологией.

      Шаг 2: Настройте IP-адреса на узлах PC-A, PC-B и PC-C.

      Адреса узловых ПК можно посмотреть в таблице адресации.

      Шаг 3: Настройте базовые параметры каждого коммутатора.

      1. Отключите поиск DNS.
      2. Присвойте имена устройствам в соответствии с топологией.
      3. Назначьте class в качестве пароля привилегированного режима EXEC.
      4. Назначьте cisco в качестве пароля паролей консоли и VTY и активируйте вход для консоли и VTY каналов.
      5. Настройте logging synchronous для консоли и каналов vty.

      Шаг 4: Настройте сети VLAN на каждом коммутаторе.
      aСоздайте и назначьте имена сетям VLAN в соответствии с таблицей назначений VLAN.

      • Настройте IP-адрес, указанный в таблице адресации для сети VLAN 99 на обоих коммутаторах.
      • Настройте порт F0/6 на коммутаторе S1 в качестве порта доступа и назначьте его сети VLAN 99.
      • Настройте порт F0/11 на коммутаторе S2 в качестве порта доступа и назначьте его сети VLAN 10.
      • Настройте порт F0/18 на коммутаторе S2 в качестве порта доступа и назначьте его сети VLAN 99.
      • Выполните команду show vlan brief, чтобы проверить назначения VLAN и портов.

      Шаг 5: Настройте базовые параметры безопасности порта.
      a. Настройте баннер MOTD (сообщение дня) для предупреждения пользователей о запрете несанкционированного доступа.
      b. Зашифруйте все пароли.
      c. Отключите все неиспользуемые физические порты.
      d. Отключите основной текущий веб-сервис.

      S1(config)# no ip http server
      S2(config)# no ip http server

      e. Сохраните текущую конфигурацию в загрузочную конфигурацию.

      Шаг 6: Проверьте подключение между устройствами и сведения о VLAN.

      1. Из командной строки на ПК-А отправьте эхо-запрос на административный адрес коммутатора S1.
      2. От коммутатора S1 отправьте эхо-запрос на административный адрес коммутатора S2.
      3. Из командной строки на PC-B отправьте эхо-запрос на административные адреса коммутаторов S1 и S2 и на IP-адреса PC-A и PC-C.
      4. Из командной строки узла PC-C отправьте эхо-запрос на административные адреса коммутаторов S1 и S2.

      Примечание. Для успешной передачи эхо-запросов может потребоваться отключение брандмауэра.

      Часть 2: Реализация системы безопасности сети VLAN на коммутаторах
      Шаг 1: Настройте транковые порты на коммутаторах S1 и S2.

      a. Настройте порт F0/1 на коммутаторе S1 в качестве транкового порта.

      S1(config)# interface f0/1
      S1(config-if)# switchport mode trunk

      b. Настройте порт F0/1 на коммутаторе S2 в качестве транкового порта.

      S2(config)# interface f0/1
      S2(config-if)# switchport mode trunk

      c. Проверьте транковую связь на коммутаторах S1 и S2. Выполните команду show interface trunk на обоих коммутаторах.
      S1# show interface trunk

      Шаг 2: Измените сеть native VLAN для транковых портов на коммутаторах S1 и S2.

      Изменение сети native VLAN для транковых портов с VLAN 1 на другую сеть VLAN — это хороший способ обеспечения безопасности.

      a. Укажите текущую сеть native VLAN для интерфейсов F0/1 коммутаторов S1 и S2.

      b. Настройте сеть Management&Native VLAN 99 на транковом интерфейсе F0/1 коммутатора S1 в качестве сети native VLAN.

      S1# config t
      S1(config)# interface f0/1
      S1(config-if)# switchport trunk native vlan 99

      c. Подождите несколько секунд. Вы должны получить сообщения об ошибке в консольном сеансе на коммутаторе S1.

      d. Настройте сеть VLAN 99 на транковом интерфейсе F0/1 коммутатора S2 в качестве сети native
      VLAN.

      S2(config)# interface f0/1
      S2(config-if)# switchport trunk native vlan 99

      e. Убедитесь, что сетью native VLAN на обоих коммутаторах является VLAN 99. Ниже показаны выходные данные коммутатора S1.

      S1# show interface trunk

      Шаг 3: Убедитесь, что трафик успешно проходит через транковый канал.

      a. Из командной строки на ПК-А отправьте эхо-запрос на административный адрес коммутатора S1.

      b. В консольном сеансе на коммутаторе S1 отправьте эхо-запрос на административный адрес коммутатора S2.

      c. Из командной строки на PC-B отправьте эхо-запрос на административные адреса коммутаторов S1 и S2 и на IP-адреса PC-A и PC-C.

      d. Из командной строки на PC-С отправьте эхо-запрос на административные адреса коммутаторов S1 и S2 и на IP-адрес узла PC-A.

      Шаг 4: Запретите использование DTP на коммутаторах S1 и S2.

      На коммутаторах Cisco используется собственный протокол, который известен как протокол динамического создания транкового канала (DTP). Некоторые порты автоматически согласовываются для транковой связи. Согласование рекомендуется отключать. Такое поведение по умолчанию можно увидеть, выполнив следующую команду:

      S1# show interface f0/1 switchport

      a. Отключите согласование на коммутаторе S1.

      S1(config)# interface f0/1
      S1(config-if)# switchport nonegotiate
      b. Отключите согласование на коммутаторе S2.

      S2(config)# interface f0/1
      S2(config-if)# switchport nonegotiate

      c. Убедитесь, что согласование отключено, с помощью команды show interface f0/1 switchport на коммутаторах S1 и S2.
      S1# show interface f0/1 switchport

      Шаг 5: Настройте функцию безопасности на портах доступа на коммутаторах S1 и S2.

      Если устройство подключено к одному из этих портов, а интерфейс включён, транковая связь может быть успешной, даже если вы выключите на коммутаторах неиспользуемые оставшиеся порты. Кроме того, все порты по умолчанию находятся в сети VLAN 1. Рекомендуется перевести неиспользуемые порты в сеть VLAN «чёрной дыры». На данном этапе вам нужно отключить транковую связь на всех неиспользуемых портах. Также вам нужно назначить неиспользуемые порты сети VLAN 999. Для этой лабораторной работы на обоих коммутаторах будут настроены только порты со 2-го по 5-й.

      a. Выполните команду show interface f0/2 switchport на коммутаторе S1. Обратите внимание на административный режим и состояние для согласования транковой связи.

      S1# show interface f0/2 switchport

      b. Отключите транковую связь на портах доступа коммутатора S1.

      S1(config)# interface range f0/2 – 5
      S1(config-if-range)# switchport mode access
      S1(config-if-range)# switchport access vlan 999

      c. Отключите транковую связь на портах доступа коммутатора S2.

      d. Убедитесь, что порт F0/2 на коммутаторе S1 настроен в качестве порта доступа.

      S1# show interface f0/2 switchport

      e. Убедитесь, что назначения портов VLAN настроены верно на обоих коммутаторах. Коммутатор S1 показан ниже в качестве примера.

      S1# show vlan brief

      По умолчанию все сети VLAN имеют доступ к транковым портам. Из соображений безопасности рекомендуется разрешать доступ к транковым каналам вашей сети только для нужных сетей VLAN.

      f. Разрешите доступ к транковому порту F0/1 на коммутаторе S1 только для сетей VLAN 10 и 99.

      S1(config)# interface f0/1
      S1(config-if)# switchport trunk allowed vlan 10,99

      g. Разрешите доступ к транковому порту F0/1 на коммутаторе S2 только для сетей VLAN 10 и 99.

      h. Проверьте разрешённые сети VLAN. Выполните команду show interface trunk в привилегированном режиме на коммутаторах S1 и S2.

      S1# show interface trunk

    • Автор
      Сообщения
    Просмотр 1 сообщения - с 1 по 1 (всего 1)
    • Для ответа в этой теме необходимо авторизоваться.
    Авторизация
    Регистрация
    *
    *
    Вход Потеряли пароль ?
    Регистрация
    *
    *
    *
    Пароль не введен
    *
    Зарегистрироваться
    Регистрация
    Генерация пароля
    Получить новый пароль