Что такое findslide.org?

FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.


Для правообладателей

Обратная связь

Email: Нажмите что бы посмотреть 

Яндекс.Метрика

Презентация на тему Настройка коммутаторов cisco

Содержание

В рамках этой темы…
Настройка коммутаторов CiscoГлава 8 В рамках этой темы… Защита доступа к командной строкеПервый этап защиты коммутатора - это защита доступа Защита простым паролемДля пользователей Telnet и консоли коммутаторы Cisco способны защитить пользовательский Защита простым паролемКоммутаторы Cisco защищают привилегированный режим при помощи привилегированного пароля (еnаblе Защита простым паролемКоманда login указывает операционной системе IOS использовать простой пароль, а Защита простым паролем Ввод команд в CLIПервая строка демонстрирует приглашение к вводу команд коммутатора Switch Ввод команд в CLIПользователь переходит в глобальный режим конфигурации (команда configure terminal) Ввод команд в CLIиспользуя команду line console 0, пользователь должен войти в Ввод команд в CLIследующие строки примера повторяют те же действия, но для Результат ввода команду пользователя консоли будет запрашиваться пароль (без имени пользователя) , Новый файл текущей конфигурации running-config на коммутаторе Emma Защита по локальному имени пользователя и паролюКоммутаторы Cisco поддерживают метод аутентификации, подразумевающий Защита по локальному имени пользователя и паролю Защита с помощью АААКоммутаторы и маршрутизаторы Cisco поддерживают еше один способ проверки Настройка протокола SSH Настройка протокола SSH Настройка протокола SSH Результаты ввода командКоманда show ip ssh отображает информацию о состоянии самого сервера Отключение протоколовКоммутатор поддерживает на линиях vty доступ по протоколам Telnet и SSH, Шифрование паролейПо умолчанию для некоторых из команд конфигурации, пароли хранятся виде открытого Шифрование паролейНекоторые пароли можно зашифровать при помощи глобальной команды конфигурации service password-encryption:Немедленно Шифрование паролейпароли открытым текстомпароли зашифрованы Шифрование привилегированного пароляСтарая команда еnаblе password сохраняет пароль на привилегированный режим как Шифрование локальных паролейДля лучшего шифрования локальных паролей добавлена глобальная команда username пользователь Отображаемое сообщениеОтображаемое при подключении сообщение (banner) - это просто текст, который выводится Буфер истории командВ буфер истории сохраняется несколько последних введенных команд.Некоторые из наиболее Стандартные настройки коммутатораКоммутаторы Cisco поставляются со стандартными настройками, позволяющими им работать из Концепция SVIКоммутатор использует коммутируемый виртуальный интерфейс (Switched Virtual Interface - SVI ) Выбор VLAN для настройка IP адреса Настройка IPv4-адресаКоммутатор настраивает свой IРv4-адрес и маску на специальном, подобном сетевой плате, Настройка IPv4-адреса Проверка IPv4-адресаКонфигурацию IРv4-адреса коммутатора можно проверить несколькими способами:просмотреть текущую конфигурацию, используя команду Проверка IPv4-адреса Настройка интерфейсов коммутатораВ операционной системе Cisco IOS для настройки интерфейсов используется специализированный Настройка интерфейсов коммутатора Защита портов коммутатораЕсли известно, какие конкретно устройства будут подключены кабелями к каким Основные правила защиты портаОпределите максимальное разрешенное количество МАС-адресов отправителя для всех входящих Последовательность защиты портаИспользуя подкоманды интерфейса switchport modе access или switchport mode trunk, Последовательность защиты порта Проверка защиты порта Действия по защите портаКоммутатор может быть настроен так, чтобы использовать при нарушении Полезные командыcopy running-configuration startup-configuration (write, write memory, wr mem):Эта команда сохранит текущие Ключевые темы
Слайды презентации

Слайд 2 В рамках этой темы…

В рамках этой темы…

Слайд 3 Защита доступа к командной строке
Первый этап защиты коммутатора

Защита доступа к командной строкеПервый этап защиты коммутатора - это защита

- это защита доступа к интерфейсу CLI (пользовательскому и

привилегированному режиму):

Стандартная конфигурация консоли позволяют консольному пользователю перейти из пользовательского режима в привилегированный, не вводя пароль.

стандартные параметры конфигурации коммутатора не разрешают сеансы vty (Telnet или SSH) н и в пользовательском, ни в привилегированном режиме.

Слайд 4 Защита простым паролем
Для пользователей Telnet и консоли коммутаторы

Защита простым паролемДля пользователей Telnet и консоли коммутаторы Cisco способны защитить

Cisco способны защитить пользовательский режим простым паролем (без имени

пользователя):

пользователи консоли должны ввести пароль консоли (console password), заданный в режиме конфигурации линии консоли (line console 0).

пользователи Telnet должны вводить пароль Telnet (Telnet password), называемый также паролем vty (vty password), поскольку его конфигурация находится в режиме конфигурации линии vty.

Слайд 5 Защита простым паролем
Коммутаторы Cisco защищают привилегированный режим при

Защита простым паролемКоммутаторы Cisco защищают привилегированный режим при помощи привилегированного пароля

помощи привилегированного пароля (еnаblе password):
пользователь в пользовательском режиме вводит

команду еnаblе, запрашивающую привилегированный пароль;

Слайд 6 Защита простым паролем
Команда login указывает операционной системе IOS

Защита простым паролемКоманда login указывает операционной системе IOS использовать простой пароль,

использовать простой пароль, а команда password пароль_значение задает пароль.

Операционная

система IOS защищает привилегированный режим, используя привилегированный пароль, заданный глобальной командой еnаblе secret пароль_ значение.

Слайд 7 Защита простым паролем

Защита простым паролем

Слайд 8 Ввод команд в CLI
Первая строка демонстрирует приглашение к

Ввод команд в CLIПервая строка демонстрирует приглашение к вводу команд коммутатора

вводу команд коммутатора Switch > (стандартное приглашение);
Символ > указывает

на пользовательский режим;
пользователь ввел команду enable, активирующую привилегированный режим (символ #);

Слайд 9 Ввод команд в CLI
Пользователь переходит в глобальный режим

Ввод команд в CLIПользователь переходит в глобальный режим конфигурации (команда configure

конфигурации (команда configure terminal) .

Оказавшись в глобальном режиме

конфигурации, пользователь вводит две команды (еnаblе secret и hostname), распространяющиеся на весь коммутатор.

Слайд 10 Ввод команд в CLI
используя команду line console 0,

Ввод команд в CLIиспользуя команду line console 0, пользователь должен войти

пользователь должен войти в режим конфигурации канала консоли.
команда

password задает простой текстовый пароль (faith), а команда login указывает коммутатору запрашивать его при входе.
командой exit пользователь выходит из режима настройки консоли;

Слайд 11 Ввод команд в CLI
следующие строки примера повторяют те

Ввод команд в CLIследующие строки примера повторяют те же действия, но

же действия, но для всех 16 каналов vty (линии

vty от 0 до 15) .
16 каналов vty означает, что коммутатор может принять 16 параллельных подключений Telnet к коммутатору.
команда end (exit) возвращает пользователя в привилегированный режим.

Слайд 12 Результат ввода команд
у пользователя консоли будет запрашиваться пароль

Результат ввода команду пользователя консоли будет запрашиваться пароль (без имени пользователя)

(без имени пользователя) , и он должен ввести hope.

у

пользователей Telnet будет запрашиваться пароль (тоже без имени пользователя), и он должен будет ввести love.

для перехода в привилегированный режим пользователи консоли и Telnet должны использовать команду еnаblе с паролем cisco.

пользователи SSH пока не смогут войти на этот коммутатор, поскольку для поддержки протокола SSH необходимо больше действий.

Слайд 13 Новый файл текущей конфигурации running-config на коммутаторе Emma

Новый файл текущей конфигурации running-config на коммутаторе Emma

Слайд 14 Защита по локальному имени пользователя и паролю
Коммутаторы Cisco

Защита по локальному имени пользователя и паролюКоммутаторы Cisco поддерживают метод аутентификации,

поддерживают метод аутентификации, подразумевающий использование имени пользователя и пароля:

для

использования этого метода достаточно одной или нескольких глобальных команд конфигурации username имя password пароль.

затем нужно уведомить каналы консоли и vty об использовании заданных имен пользователя и пароля (подкоманда линии login local).

Слайд 15 Защита по локальному имени пользователя и паролю

Защита по локальному имени пользователя и паролю

Слайд 16 Защита с помощью ААА
Коммутаторы и маршрутизаторы Cisco поддерживают

Защита с помощью АААКоммутаторы и маршрутизаторы Cisco поддерживают еше один способ

еше один способ проверки правильности имен пользователя и паролей

- внешний сервер аутентификации, авторизации и учета (Authentication, Authorization, And Accounting – ААА:
при аутентификации коммутатор (или маршрутизатор) просто посылает на сервер ААА сообщение с запросом, допустимы ли данное имя пользователя и пароль, а сервер ААА отвечает.

Слайд 17 Настройка протокола SSH

Настройка протокола SSH

Слайд 18 Настройка протокола SSH

Настройка протокола SSH

Слайд 19 Настройка протокола SSH

Настройка протокола SSH

Слайд 20 Результаты ввода команд
Команда show ip ssh отображает информацию

Результаты ввода командКоманда show ip ssh отображает информацию о состоянии самого

о состоянии самого сервера SSH.
Команда show ssh отображает

информацию о каждом клиенте SSH, подключенном к коммутатору в настоящее время.

Слайд 21 Отключение протоколов
Коммутатор поддерживает на линиях vty доступ по

Отключение протоколовКоммутатор поддерживает на линиях vty доступ по протоколам Telnet и

протоколам Telnet и SSH, но для повышения безопасности можно

отключить один или оба из них.

Коммутатор контролирует поддержку протоколов Telnet и SSH на линиях vty, используя подкоманду vty transport input {all/none/telnet/ssh) со следующими параметрами:

Слайд 22 Шифрование паролей
По умолчанию для некоторых из команд конфигурации,

Шифрование паролейПо умолчанию для некоторых из команд конфигурации, пароли хранятся виде

пароли хранятся виде открытого текста в файле running-config.

Только команда

еnаblе secret автоматически скрывает значение пароля.

Результатом применения методов шифрования пароля будет невозможность просмотреть пароли в выводе команды show running-config.

Слайд 23 Шифрование паролей
Некоторые пароли можно зашифровать при помощи глобальной

Шифрование паролейНекоторые пароли можно зашифровать при помощи глобальной команды конфигурации service

команды конфигурации service password-encryption:

Немедленно после ввода данной команды IOS

шифрует все существующие команды password (в режимах консоли и vty), а также пароли команды username password.

Пока данная команда остается в конфигурации, IOS шифрует пароли, даже если их значения изменяются.

Немедленно после ввода команды no service password-encryption шифрование паролей отменяется, но существующие пароли остаются зашифрованными.

После удаления данной команды из конфигурации операционная система IOS сохраняет значения всех измененных паролей этих команд в виде обычного текста.

Слайд 24 Шифрование паролей
пароли открытым
текстом
пароли
зашифрованы

Шифрование паролейпароли открытым текстомпароли зашифрованы

Слайд 25 Шифрование привилегированного пароля
Старая команда еnаblе password сохраняет пароль

Шифрование привилегированного пароляСтарая команда еnаblе password сохраняет пароль на привилегированный режим

на привилегированный режим как открытый текст.
Новая команда еnаblе secret

автоматически шифрует пароль, применяет к нему математическую функцию Message Digest 5 (MD5 – тип 5), сохраняя результат вычисления в файле конфигурации.

Слайд 26 Шифрование локальных паролей
Для лучшего шифрования локальных паролей добавлена

Шифрование локальных паролейДля лучшего шифрования локальных паролей добавлена глобальная команда username

глобальная команда username пользователь secret пароль (использует алгоритм шифрования

SHA-256 (тип 4)) как альтернатива команде username пользователь password пароль.

Слайд 27 Отображаемое сообщение
Отображаемое при подключении сообщение (banner) - это

Отображаемое сообщениеОтображаемое при подключении сообщение (banner) - это просто текст, который

просто текст, который выводится на экран пользователя.

Команда banner режима

глобальной конфигурации применяется позволяет настроить 3 типа сообщений:

Сообщение дня (Message of the Day - MOTD) - отображается до того, как появится приглашение аутентификации.
Сообщение перед аутентификацией (login) - отображается до выполнения аутентификации, но после сообщения дня.
Сообщение после аутентификации (ехес) - отображается после успешной аутентификации пользователя.

Слайд 28 Буфер истории команд
В буфер истории сохраняется несколько последних

Буфер истории командВ буфер истории сохраняется несколько последних введенных команд.Некоторые из

введенных команд.

Некоторые из наиболее полезных команд для работы с

буфером истории:
show history - отображает команды, находящиеся в буфере истории команд;
history size х - задает количество команд (х), которое будет сохраняться в буфере истории команд (для консольного или сеанса vty);
terminal history size х - позволяет задавать размер буфера истории команд (х) только для текущего сеанса пользователя.

Слайд 29 Стандартные настройки коммутатора
Коммутаторы Cisco поставляются со стандартными настройками,

Стандартные настройки коммутатораКоммутаторы Cisco поставляются со стандартными настройками, позволяющими им работать

позволяющими им работать из коробки (не требуется дополнительной настройки):

работа

всех интерфейсов разрешена (стандартное состояние no shutdown);
включены автопереговоры для всех портов, которые могут их использовать (стандартное состояние duplex auto и speed auto);
все интерфейсы стандартно являются частью сети VLAN 1 (switchport access vlan 1).

Слайд 30 Концепция SVI
Коммутатор использует коммутируемый виртуальный интерфейс (Switched Virtual

Концепция SVIКоммутатор использует коммутируемый виртуальный интерфейс (Switched Virtual Interface - SVI

Interface - SVI ) или - интерфейс VLAN (VLAN

interface), действующий как собственная сетевая плата коммутатора для подключения к локальной сети и передачи пакетов IP.

Слайд 31 Выбор VLAN для настройка IP адреса

Выбор VLAN для настройка IP адреса

Слайд 32 Настройка IPv4-адреса
Коммутатор настраивает свой IРv4-адрес и маску на

Настройка IPv4-адресаКоммутатор настраивает свой IРv4-адрес и маску на специальном, подобном сетевой

специальном, подобном сетевой плате, интерфейсе VLAN:

перейти в режим конфигурации

сети VLAN 1 с помощью команды interface vlan 1 из глобального режима конфигурации устройства;
присвоить IР-адрес и маску с помощью команды ip address iр-адрес маска в подрежиме конфигурации интерфейса;
включить виртуальный интерфейс сети VLAN 1 с помощью команды no shutdown в подрежиме конфигурации интерфейса;
Указать стандартный шлюз устройства в глобальном режиме конфигурации с помощью команды ip default-gateway iр –адрес;
Добавить глобальную команду ip name-server ip-aдpec1 iр-адрес2 ..., чтобы настроить коммутатор на использование DNS при поиске имен по их IР-адресам (необязательно).


Слайд 33 Настройка IPv4-адреса

Настройка IPv4-адреса

Слайд 34 Проверка IPv4-адреса
Конфигурацию IРv4-адреса коммутатора можно проверить несколькими способами:

просмотреть

Проверка IPv4-адресаКонфигурацию IРv4-адреса коммутатора можно проверить несколькими способами:просмотреть текущую конфигурацию, используя

текущую конфигурацию, используя команду show running- config;

просмотреть информацию об

IР-адресе и маске, используя команду show interface vlan х, где х – номер влана;

при использовании сервера DHCP команда show dhcp lease позволяет просмотреть зарезервированный (временно) IР-адрес и другие параметры

Слайд 35 Проверка IPv4-адреса

Проверка IPv4-адреса

Слайд 36 Настройка интерфейсов коммутатора
В операционной системе Cisco IOS для

Настройка интерфейсов коммутатораВ операционной системе Cisco IOS для настройки интерфейсов используется

настройки интерфейсов используется специализированный режим конфигурирования интерфейса, называемый обычно

подрежимом интерфейса.

Слайд 37 Настройка интерфейсов коммутатора

Настройка интерфейсов коммутатора

Слайд 38 Защита портов коммутатора
Если известно, какие конкретно устройства будут

Защита портов коммутатораЕсли известно, какие конкретно устройства будут подключены кабелями к

подключены кабелями к каким интерфейсам коммутатора, то можно использовать

защиту порта (port security) , чтобы его могли использовать только указанные устройства:
Защита порта идентифицирует устройства по МАС-адресу отправителя во фрейме Ethernet.

Слайд 39 Основные правила защиты порта
Определите максимальное разрешенное количество МАС-адресов

Основные правила защиты портаОпределите максимальное разрешенное количество МАС-адресов отправителя для всех

отправителя для всех входящих фреймов на интерфейс.

Отследите все входящие

фреймы и сохраните список всех МАС-адресов отправителей, добавьте счетчик количества отличных МАС-адресов отправителя.

Если при добавлении нового МАС-адреса отправителя в список количество хранимых МАС-адресов превысит заданный максимум, срабатывает защита порта и коммутатор принимает меры (стандартное действие – отключение интерфейса).

Слайд 40 Последовательность защиты порта
Используя подкоманды интерфейса switchport modе access

Последовательность защиты портаИспользуя подкоманды интерфейса switchport modе access или switchport mode

или switchport mode trunk, объявите интерфейс коммутатора статическим портом

доступа или магистральным портом соответственно;
Включите защиту порта подкомандой интерфейса switchport port-security;
Переопределите стандартное максимальное количество позволенных МАС-адресов, интерфейса (1) подкомандой интерфейса switchport port-security maximum число (Необязательно.)
Задайте все допустимые МАС-адреса отправителей для данного интерфейса, используя команду switchport port-security mac-address МАС-адрес (Необязательно).
Можно также включить автоматическое обнаружение МАС-адресов, чтобы коммутатор сам изучил МАС-адреса. Используйте подкоманду интерфейса switchport port-security mac-address sticky (Необязательно.)

Слайд 41 Последовательность защиты порта

Последовательность защиты порта

Слайд 42 Проверка защиты порта

Проверка защиты порта

Слайд 43 Действия по защите порта
Коммутатор может быть настроен так,

Действия по защите портаКоммутатор может быть настроен так, чтобы использовать при

чтобы использовать при нарушении безопасности одно из трех действий:


Слайд 44 Полезные команды
copy running-configuration startup-configuration (write, write memory, wr

Полезные командыcopy running-configuration startup-configuration (write, write memory, wr mem):Эта команда сохранит

mem):
Эта команда сохранит текущие модификации в настройках (running-configuration, которая

хранится в RAM), в энергонезависимую RAM (NVRAM). 

 show interface:
отображает состояние интерфейсов маршрутизатора.

show ip interface и show ip interface brief:
предоставляет информацию о конфигурации и состоянии протокола IP и его службах на всех интерфейсах. 

show vlan:
Показать существующие vlan и привязку к ним физических интерфейсов.


  • Имя файла: nastroyka-kommutatorov-cisco.pptx
  • Количество просмотров: 109
  • Количество скачиваний: 0