01-web課件6securing network devices2014思科和或其附屬公司保留所有權(quán)利本所含內(nèi)容為公開(kāi)發(fā)

1、拓?fù)銯0/5PC-AG0/1S1F0/6R1地址分配表目標(biāo)第 1 部分：配置基本設(shè)備設(shè)置第 2 部分：在路由器上配置基本安全措施第 3 部分：在交換機(jī)上配置基本安全措施背景/場(chǎng)景建議所有網(wǎng)絡(luò)設(shè)備至少配置一組最低要求的最佳實(shí)踐安全命令。這包括最終用戶(hù)設(shè)備、服務(wù)器和網(wǎng)絡(luò)設(shè)備，例如路由器和交換機(jī)。在本實(shí)驗(yàn)中，您將配置拓?fù)渲械木W(wǎng)絡(luò)設(shè)備接受 SSH 會(huì)話(huà)進(jìn)行管理。您還將使用 IOS CLI 配置常見(jiàn)的基本最佳實(shí)踐安全措施。然后測(cè)試安全措施，確認(rèn)這些措施正確實(shí)施并且正常運(yùn)行。注意：CCNA 動(dòng)手實(shí)驗(yàn)所用的路由器是采用 Cisco IOS Release 15.2(4)M3（universalk9 映像）的

2、 Cisco 1941 ISR。所用的交換機(jī)是采用 Cisco IOS Release 15.0(2)（lanbasek9 映像）的 Cisco Catalyst 2960 系列。也可使用其他路由器、交換機(jī)以及 Cisco IOS 版本。根據(jù)型號(hào)以及 Cisco IOS 版本不同，可用命令和產(chǎn)生的輸出可能與實(shí)驗(yàn)顯示的不一樣。請(qǐng)參考本實(shí)驗(yàn)?zāi)┪驳摹奥酚善鹘涌谡怼币粤私庹_的接口標(biāo)識(shí)符。注意：確保所使用的路由器和交換機(jī)的啟動(dòng)配置都已擦除。如果不確定，請(qǐng)聯(lián)系教師。所需資源1 臺(tái)路由器（支持 Cisco IOS15.2(4)M3 版通用映像的 Cisco 1941 或同類(lèi)路由器）1 臺(tái)交換機(jī)（支持

3、Cisco IOS 15.0(2) lanbasek9 版映像的 Cisco 2960 或同類(lèi)交換機(jī)）1 臺(tái) PC（采用 Windows 7、Vista 或 XP 且支持終端仿真程序，比如 Tera Term）用于通過(guò)控制臺(tái)電纜配置 Cisco IOS 設(shè)備的控制臺(tái)端口如拓?fù)鋱D所示的以太網(wǎng)電纜第 1 頁(yè)，共 8 頁(yè)設(shè)備接IP 地址子網(wǎng)掩碼默認(rèn)網(wǎng)關(guān)R1G0/1192.168.1.1255.255.255.0未提供S1VLAN 1192.168.1.11255.255.255.0192.168.1.1PC-A網(wǎng)卡192.168.1.3255.255.255.0192.168.1.1口第 1 部分：

4、配設(shè)備的基本設(shè)置在第 1 部分中，您將建立網(wǎng)絡(luò)拓?fù)洳⑴渲没驹O(shè)置，例如接口 IP 地址、設(shè)備和路由器。第 1 步：建立如拓?fù)鋱D所示的網(wǎng)絡(luò)。按照拓?fù)鋱D所示連接設(shè)備和電纜。第 2 步：初始化并重新加載路由器和交換機(jī)。第 3 步：配置路由器。有關(guān) SSH 需要使用令，請(qǐng)參考之前的實(shí)驗(yàn)獲取幫助。a.b.c.d.e.f.g.h.i.j.k.通過(guò)控制臺(tái)連接到路由器并啟用進(jìn)入配置模式。將路由器名稱(chēng)指定為 R1。EXEC 模式。禁用 DNS 查找，以防路由器嘗試將輸入有誤令視為主機(jī)名進(jìn)行轉(zhuǎn)換。指定 class 作為EXEC 加密。指定 cisco 作為控制臺(tái)并啟用登錄。指定 cisco 作為 vty加密明文。

5、并啟用登錄。創(chuàng)建一個(gè)向設(shè)備者發(fā)出警告的標(biāo)語(yǔ)：，。使用地址分配表中包含的信息配置并激活路由器上的 G0/1 接口。將運(yùn)行配置保存到啟動(dòng)配置文件中。第 4 步：配置交換機(jī)。a.b.c.d.e.f.g.h.i.j.k.EXEC 模式。通過(guò)控制臺(tái)連接到交換機(jī)并啟用進(jìn)入配置模式。將交換機(jī)名稱(chēng)指定為 S1。禁用 DNS 查找，以防路由器嘗試將輸入有誤令視為主機(jī)名進(jìn)行轉(zhuǎn)換。指定 class 作為EXEC 加密。指定 cisco 作為控制臺(tái)并啟用登錄。指定 cisco 作為 vty加密明文。并啟用登錄。創(chuàng)建一個(gè)向設(shè)備者發(fā)出警告的標(biāo)語(yǔ)：，。使用地址分配表中包含的 IP 地址信息配置默認(rèn) SVI。將運(yùn)行配置保存到

6、啟動(dòng)配置文件中。第 2 頁(yè)，共 8 頁(yè)置第 2 部分：在路由器上配置基本安全措施第 1 步：提高強(qiáng)度。管理員應(yīng)確小長(zhǎng)度。碼符合強(qiáng)的標(biāo)準(zhǔn)原則。這些原則包括在中混合使用字母、數(shù)字和特殊字符并且設(shè)置最注意：最佳實(shí)踐原則要求在生產(chǎn)環(huán)境中使用強(qiáng)，例如此處所述內(nèi)容。不過(guò)為了便于實(shí)驗(yàn)，本課程中的其他cisco 和 class。實(shí)驗(yàn)使用a.EXEC 加密更改，使其符合原則。R1(config)# enable secret Enablep55要求所有至少包含 10 個(gè)字符。R1(config)# security passwords min-length 10b.第 2 步：?jiǎn)⒂?SSH 連接。a.指定R1(

7、config)# ip。-nameb.創(chuàng)建一個(gè)通過(guò) SSH 連接到路由器時(shí)使用的本地用戶(hù)數(shù)據(jù)庫(kù)條目。管理員級(jí)別的權(quán)限。R1(config)# username admin privilege 15 secret Admin15p55應(yīng)符合強(qiáng)標(biāo)準(zhǔn)，并且用戶(hù)應(yīng)具有c.配置 vty 線(xiàn)路的 transport input，以便其接受 SSH 連接，而不允許R1(config)# line vty 0 4R1(config-line)# transport input sshvty 線(xiàn)路應(yīng)使用本地用戶(hù)數(shù)據(jù)庫(kù)進(jìn)行驗(yàn)證。R1(config-line)# login localR1(config-line)

8、# exit使用系數(shù) 1024 位，生成 RSA 加密密鑰。R1(config)# crypto key generate rsa modulus 1024The name for the keys will be:net 連接。d.e.% The key modulus size is 1024 bits% Generating 1024 bit RSA keys, keys will be non-exportable. OK (elapsed time was 2 seconds)R1(config)#*Jan 31 17:54:16.127: %SSH-5-ENABLED: SSH 1

9、.99 has been enabled第 3 步：保護(hù)控制臺(tái)線(xiàn)路和 vty 線(xiàn)路。a. 您可設(shè)置路由器，使其注銷(xiāo)空閑時(shí)間達(dá)到指定時(shí)間的連接。如果網(wǎng)絡(luò)管理員登錄到一臺(tái)網(wǎng)絡(luò)設(shè)備上，然后突然有事離開(kāi)，此命令便會(huì)在指定時(shí)間后自動(dòng)將該用戶(hù)注銷(xiāo)。以下命令可路閑置 5 分鐘后注銷(xiāo)線(xiàn)路。R1(config)#line console 0R1(config-line)#exec-timeout 5 0第 3 頁(yè)，共 8 頁(yè)R1(config-line)#line vty 0 4R1(config-line)#exec-timeout 5 0R1(config-line)# exitR1(config)#b.

10、以下命令用于防止 為了方便實(shí)驗(yàn)，此處型登錄嘗試。如果有人在 120 秒內(nèi)登錄失敗兩次，路由器將該值特意設(shè)得較低。其嘗試登錄 30 秒。R1(config)#login block-for 30 attempts 2 within 120上述命令中的 2 within 120 表示什么意思？上述命令中的 block-for 30 表示什么意思？第 4 步：檢驗(yàn)所有未使用的端口是否已禁用。默認(rèn)情況下，路由器端口處于禁用狀態(tài)，但最好檢驗(yàn)一下所有未使用的端口是否處于管理性關(guān)閉狀態(tài)。通過(guò)發(fā)出 show iperface brief 命令可以進(jìn)行快速檢查。對(duì)于未處于管理性關(guān)閉狀態(tài)的未使用端口，可在接口配置

11、模式下使用 shutdown 命令禁用端口。R1# show iperfaceerface briefIP-AddressOK? YES YES YES YESYESMethod NVRAM NVRAMmanual NVRAMNVRAMSusProtocol down downup downdownEmbedded-Service-Engine0/0 GigabitEthernet0/0 GigabitEthernet0/1 Serial0/0/0Serial0/0/1R1#unassigned unassigned 192.168.1.1unassignedunassignedadminis

12、tratively administratively up administrativelyadministrativelydowndowndowndown第 5 步：檢驗(yàn)?zāi)陌踩胧┦欠裾_實(shí)施。a.使用 Tera Term 通過(guò)net 連接到 R1。R1 是否接受原因是什么？net 連接？b.使用 Tera Term 通過(guò) SSH 連接到 R1。R1 是否接受 SSH 連接？c.有意輸錯(cuò)用戶(hù)和信息，以查看嘗試兩次后是否會(huì)。第二次登錄失敗后，將會(huì)發(fā)生什么情況？d.從路由器的控制臺(tái)會(huì)話(huà)，發(fā)出 show login 命令，以查看登錄狀態(tài)。在下面的示例中，show login 命令是在 30 秒登

13、錄秒。期內(nèi)發(fā)出的，結(jié)果顯示路由器處于靜默模式。路由器不接受任何登錄嘗試的時(shí)間延長(zhǎng) 14R1# show loginA default login delay of 1 second is appd.第 4 頁(yè)，共 8 頁(yè)No Quiet-Mode acs liss been configured.Router enabledto watch for login Attacks.login failures occur in 120 seconds or less, disabled for 30 seconds.If moren 2logins will beRoutresently in Q

14、uiet-Mode.Will remain in Quiet-Mode for 14 seconds.Denying logins from all sour.R1#達(dá)到 30 秒之后，通過(guò) SSH 重新連接 R1，并使用用戶(hù)名 admin 和成功登錄后將會(huì)顯示什么內(nèi)容？e.Admin15p55 登錄。f.進(jìn)入如果輸錯(cuò)EXEC 模式并使用 Enablep55 作為。，在 120 秒內(nèi)嘗試失敗兩次后，您是否會(huì)從 SSH 會(huì)話(huà)斷開(kāi)？原因是什么？g.在EXEC 提示符下發(fā)出 show running-config 命令，以查看您應(yīng)用的安全設(shè)置。第 3 部分：在交換機(jī)上配置基本安全措施第 1 步：提高

15、交換機(jī)的強(qiáng)度。更改EXEC 加密，使其符合強(qiáng)原則。S1(config)# enable secret Enablep55注意：安全 password min-length 命令在 2960 系列交換機(jī)上不可用。第 2 步：?jiǎn)⒂?SSH 連接。a.指定S1(config)# ip。-nameb.創(chuàng)建一個(gè)通過(guò) SSH 連接到路由器時(shí)使用的本地用戶(hù)數(shù)據(jù)庫(kù)條目。管理員級(jí)別的權(quán)限。應(yīng)符合強(qiáng)標(biāo)準(zhǔn)，并且用戶(hù)應(yīng)具有S1(config)# username admin privilege 15 secret Admin15p55配置 vty 線(xiàn)路的 transport input，以便允許 SSH 連接，而不允

16、許net 連接。S1(config)# line vty 0 15S1(config-line)# transport input sshvty 線(xiàn)路應(yīng)使用本地用戶(hù)數(shù)據(jù)庫(kù)進(jìn)行驗(yàn)證。S1(config-line)# login localS1(config-line)# exit使用系數(shù) 1024 位，生成 RSA 加密密鑰。S1(config)# crypto key generate rsa modulus 1024c.d.e.第 5 頁(yè)，共 8 頁(yè)第 3 步：保護(hù)控制臺(tái)線(xiàn)路和 vty 線(xiàn)路。a.使交換機(jī)注銷(xiāo)閑置時(shí)間達(dá)到 10 分鐘的線(xiàn)路。S1(config)# line S1(config

17、-line)# S1(config-line)# S1(config-line)# S1(config-line)#S1(config)#console 0exec-timeout 10 0line vty 0 15exec-timeout 10 0 exitb.登錄嘗試，則配置交換機(jī)在 120 秒內(nèi)嘗試失敗兩次后該值特意設(shè)得較低。30 秒。為了方便實(shí)驗(yàn)，此要處登錄S1(config)# login block-for 30 attempts 2 withinS1(config)# end120第 4 步：檢驗(yàn)所有未使用的端口是否已禁用。默認(rèn)情況下，交換機(jī)端口處于啟用狀態(tài)。關(guān)閉交換機(jī)上未使用的

18、所有端口。a.使用 show iperface brief 命令可以檢驗(yàn)交換機(jī)端口狀態(tài)。erface briefS1# showerface Vlan1ipOK？Method SusIP-Address 192.168.1.11unassignedunassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned

19、unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassignedProtocol updowndown down down up up down down down down down down down down down down down down down down down down down down down downYES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES

20、 YES YES YES YES YES YES YES YES YES YESmanual unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unsetup down down down down up up down down down down down down down down down down down down down down

21、 down down down down down downFastEthernet0/1 FastEthernet0/2 FastEthernet0/3 FastEthernet0/4 FastEthernet0/5 FastEthernet0/6 FastEthernet0/7 FastEthernet0/8 FastEthernet0/9 FastEthernet0/10 FastEthernet0/11 FastEthernet0/12 FastEthernet0/13 FastEthernet0/14 FastEthernet0/15 FastEthernet0/16 FastEth

22、ernet0/17 FastEthernet0/18 FastEthernet0/19 FastEthernet0/20 FastEthernet0/21 FastEthernet0/22 FastEthernet0/23 FastEthernet0/24 GigabitEthernet0/1 GigabitEthernet0/2第 6 頁(yè)，共 8 頁(yè)S1#使用b.erface range 命令可以一次關(guān)閉多個(gè)接口。S1(config)#erface range f0/14, f0/7-24 , g0/1-2S1(config-if-range)# shutdownS1(config-if-r

23、ange)# endS1#檢驗(yàn)所有非活動(dòng)接口是否已管理性關(guān)閉。c.S1# showerface Vlan1iperface briefIP-Address 192.168.1.11unassignedunassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned un

24、assigned unassigned unassigned unassigned unassignedOK？Method SusProtocol updowndown down down up up down down down down down down down down down down down down down down down down down down down downYES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES

25、YES YESmanual unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unsetup administratively administratively administratively administratively upup administratively administratively administratively admi

26、nistratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administrativelyFastEthernet0/1

27、FastEthernet0/2 FastEthernet0/3 FastEthernet0/4 FastEthernet0/5 FastEthernet0/6 FastEthernet0/7 FastEthernet0/8 FastEthernet0/9 FastEthernet0/10 FastEthernet0/11 FastEthernet0/12 FastEthernet0/13 FastEthernet0/14 FastEthernet0/15 FastEthernet0/16 FastEthernet0/17 FastEthernet0/18 FastEthernet0/19 Fa

28、stEthernet0/20 FastEthernet0/21 FastEthernet0/22 FastEthernet0/23 FastEthernet0/24down down downdowndown down down down down down down down down down down down down down down down down down down downGigabitEthernet0/1GigabitEthernet0/2 S1#unassignedunassigned第 5 步：檢驗(yàn)?zāi)陌踩胧┦欠裾_實(shí)施。a.b.c.檢驗(yàn)交換機(jī)上已禁用net。通過(guò) SSH 連接到交換機(jī)并有意輸錯(cuò)用戶(hù)和信息，以查看是否登錄。達(dá)到 30 秒之后，通過(guò) SSH 重新連接 S1，并使用用戶(hù)名 admin 和成功登錄后是否顯示了標(biāo)語(yǔ)？Admin15p55 登錄。d.使用 Enablep55 作