01-web课件6securing network devices2014思科和或其附属公司保留所有权利本所含内容为公开发

1、拓扑F0/5PC-AG0/1S1F0/6R1地址分配表目标第 1 部分：配置基本设备设置第 2 部分：在路由器上配置基本安全措施第 3 部分：在交换机上配置基本安全措施背景/场景建议所有网络设备至少配置一组最低要求的最佳实践安全命令。这包括最终用户设备、服务器和网络设备，例如路由器和交换机。在本实验中，您将配置拓扑中的网络设备接受 SSH 会话进行管理。您还将使用 IOS CLI 配置常见的基本最佳实践安全措施。然后测试安全措施，确认这些措施正确实施并且正常运行。注意：CCNA 动手实验所用的路由器是采用 Cisco IOS Release 15.2(4)M3（universalk9 映像）的

2、 Cisco 1941 ISR。所用的交换机是采用 Cisco IOS Release 15.0(2)（lanbasek9 映像）的 Cisco Catalyst 2960 系列。也可使用其他路由器、交换机以及 Cisco IOS 版本。根据型号以及 Cisco IOS 版本不同，可用命令和产生的输出可能与实验显示的不一样。请参考本实验末尾的“路由器接口摘要表”以了解正确的接口标识符。注意：确保所使用的路由器和交换机的启动配置都已擦除。如果不确定，请联系教师。所需资源1 台路由器（支持 Cisco IOS15.2(4)M3 版通用映像的 Cisco 1941 或同类路由器）1 台交换机（支持

3、Cisco IOS 15.0(2) lanbasek9 版映像的 Cisco 2960 或同类交换机）1 台 PC（采用 Windows 7、Vista 或 XP 且支持终端仿真程序，比如 Tera Term）用于通过控制台电缆配置 Cisco IOS 设备的控制台端口如拓扑图所示的以太网电缆第 1 页，共 8 页设备接IP 地址子网掩码默认网关R1G0/1192.168.1.1255.255.255.0未提供S1VLAN 1192.168.1.11255.255.255.0192.168.1.1PC-A网卡192.168.1.3255.255.255.0192.168.1.1口第 1 部分：

4、配设备的基本设置在第 1 部分中，您将建立网络拓扑并配置基本设置，例如接口 IP 地址、设备和路由器。第 1 步：建立如拓扑图所示的网络。按照拓扑图所示连接设备和电缆。第 2 步：初始化并重新加载路由器和交换机。第 3 步：配置路由器。有关 SSH 需要使用令，请参考之前的实验获取帮助。a.b.c.d.e.f.g.h.i.j.k.通过控制台连接到路由器并启用进入配置模式。将路由器名称指定为 R1。EXEC 模式。禁用 DNS 查找，以防路由器尝试将输入有误令视为主机名进行转换。指定 class 作为EXEC 加密。指定 cisco 作为控制台并启用登录。指定 cisco 作为 vty加密明文。

5、并启用登录。创建一个向设备者发出警告的标语：，。使用地址分配表中包含的信息配置并激活路由器上的 G0/1 接口。将运行配置保存到启动配置文件中。第 4 步：配置交换机。a.b.c.d.e.f.g.h.i.j.k.EXEC 模式。通过控制台连接到交换机并启用进入配置模式。将交换机名称指定为 S1。禁用 DNS 查找，以防路由器尝试将输入有误令视为主机名进行转换。指定 class 作为EXEC 加密。指定 cisco 作为控制台并启用登录。指定 cisco 作为 vty加密明文。并启用登录。创建一个向设备者发出警告的标语：，。使用地址分配表中包含的 IP 地址信息配置默认 SVI。将运行配置保存到

6、启动配置文件中。第 2 页，共 8 页置第 2 部分：在路由器上配置基本安全措施第 1 步：提高强度。管理员应确小长度。码符合强的标准原则。这些原则包括在中混合使用字母、数字和特殊字符并且设置最注意：最佳实践原则要求在生产环境中使用强，例如此处所述内容。不过为了便于实验，本课程中的其他cisco 和 class。实验使用a.EXEC 加密更改，使其符合原则。R1(config)# enable secret Enablep55要求所有至少包含 10 个字符。R1(config)# security passwords min-length 10b.第 2 步：启用 SSH 连接。a.指定R1(

7、config)# ip。-nameb.创建一个通过 SSH 连接到路由器时使用的本地用户数据库条目。管理员级别的权限。R1(config)# username admin privilege 15 secret Admin15p55应符合强标准，并且用户应具有c.配置 vty 线路的 transport input，以便其接受 SSH 连接，而不允许R1(config)# line vty 0 4R1(config-line)# transport input sshvty 线路应使用本地用户数据库进行验证。R1(config-line)# login localR1(config-line)

8、# exit使用系数 1024 位，生成 RSA 加密密钥。R1(config)# crypto key generate rsa modulus 1024The name for the keys will be:net 连接。d.e.% The key modulus size is 1024 bits% Generating 1024 bit RSA keys, keys will be non-exportable. OK (elapsed time was 2 seconds)R1(config)#*Jan 31 17:54:16.127: %SSH-5-ENABLED: SSH 1

9、.99 has been enabled第 3 步：保护控制台线路和 vty 线路。a. 您可设置路由器，使其注销空闲时间达到指定时间的连接。如果网络管理员登录到一台网络设备上，然后突然有事离开，此命令便会在指定时间后自动将该用户注销。以下命令可路闲置 5 分钟后注销线路。R1(config)#line console 0R1(config-line)#exec-timeout 5 0第 3 页，共 8 页R1(config-line)#line vty 0 4R1(config-line)#exec-timeout 5 0R1(config-line)# exitR1(config)#b.

10、以下命令用于防止 为了方便实验，此处型登录尝试。如果有人在 120 秒内登录失败两次，路由器将该值特意设得较低。其尝试登录 30 秒。R1(config)#login block-for 30 attempts 2 within 120上述命令中的 2 within 120 表示什么意思？上述命令中的 block-for 30 表示什么意思？第 4 步：检验所有未使用的端口是否已禁用。默认情况下，路由器端口处于禁用状态，但最好检验一下所有未使用的端口是否处于管理性关闭状态。通过发出 show iperface brief 命令可以进行快速检查。对于未处于管理性关闭状态的未使用端口，可在接口配置

11、模式下使用 shutdown 命令禁用端口。R1# show iperfaceerface briefIP-AddressOK? YES YES YES YESYESMethod NVRAM NVRAMmanual NVRAMNVRAMSusProtocol down downup downdownEmbedded-Service-Engine0/0 GigabitEthernet0/0 GigabitEthernet0/1 Serial0/0/0Serial0/0/1R1#unassigned unassigned 192.168.1.1unassignedunassignedadminis

12、tratively administratively up administrativelyadministrativelydowndowndowndown第 5 步：检验您的安全措施是否正确实施。a.使用 Tera Term 通过net 连接到 R1。R1 是否接受原因是什么？net 连接？b.使用 Tera Term 通过 SSH 连接到 R1。R1 是否接受 SSH 连接？c.有意输错用户和信息，以查看尝试两次后是否会。第二次登录失败后，将会发生什么情况？d.从路由器的控制台会话，发出 show login 命令，以查看登录状态。在下面的示例中，show login 命令是在 30 秒登

13、录秒。期内发出的，结果显示路由器处于静默模式。路由器不接受任何登录尝试的时间延长 14R1# show loginA default login delay of 1 second is appd.第 4 页，共 8 页No Quiet-Mode acs liss been configured.Router enabledto watch for login Attacks.login failures occur in 120 seconds or less, disabled for 30 seconds.If moren 2logins will beRoutresently in Q

14、uiet-Mode.Will remain in Quiet-Mode for 14 seconds.Denying logins from all sour.R1#达到 30 秒之后，通过 SSH 重新连接 R1，并使用用户名 admin 和成功登录后将会显示什么内容？e.Admin15p55 登录。f.进入如果输错EXEC 模式并使用 Enablep55 作为。，在 120 秒内尝试失败两次后，您是否会从 SSH 会话断开？原因是什么？g.在EXEC 提示符下发出 show running-config 命令，以查看您应用的安全设置。第 3 部分：在交换机上配置基本安全措施第 1 步：提高

15、交换机的强度。更改EXEC 加密，使其符合强原则。S1(config)# enable secret Enablep55注意：安全 password min-length 命令在 2960 系列交换机上不可用。第 2 步：启用 SSH 连接。a.指定S1(config)# ip。-nameb.创建一个通过 SSH 连接到路由器时使用的本地用户数据库条目。管理员级别的权限。应符合强标准，并且用户应具有S1(config)# username admin privilege 15 secret Admin15p55配置 vty 线路的 transport input，以便允许 SSH 连接，而不允

16、许net 连接。S1(config)# line vty 0 15S1(config-line)# transport input sshvty 线路应使用本地用户数据库进行验证。S1(config-line)# login localS1(config-line)# exit使用系数 1024 位，生成 RSA 加密密钥。S1(config)# crypto key generate rsa modulus 1024c.d.e.第 5 页，共 8 页第 3 步：保护控制台线路和 vty 线路。a.使交换机注销闲置时间达到 10 分钟的线路。S1(config)# line S1(config

17、-line)# S1(config-line)# S1(config-line)# S1(config-line)#S1(config)#console 0exec-timeout 10 0line vty 0 15exec-timeout 10 0 exitb.登录尝试，则配置交换机在 120 秒内尝试失败两次后该值特意设得较低。30 秒。为了方便实验，此要处登录S1(config)# login block-for 30 attempts 2 withinS1(config)# end120第 4 步：检验所有未使用的端口是否已禁用。默认情况下，交换机端口处于启用状态。关闭交换机上未使用的

18、所有端口。a.使用 show iperface brief 命令可以检验交换机端口状态。erface briefS1# showerface Vlan1ipOK？Method SusIP-Address 192.168.1.11unassignedunassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned

19、unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassignedProtocol updowndown down down up up down down down down down down down down down down down down down down down down down down down downYES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES

20、 YES YES YES YES YES YES YES YES YES YESmanual unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unsetup down down down down up up down down down down down down down down down down down down down down

21、 down down down down down downFastEthernet0/1 FastEthernet0/2 FastEthernet0/3 FastEthernet0/4 FastEthernet0/5 FastEthernet0/6 FastEthernet0/7 FastEthernet0/8 FastEthernet0/9 FastEthernet0/10 FastEthernet0/11 FastEthernet0/12 FastEthernet0/13 FastEthernet0/14 FastEthernet0/15 FastEthernet0/16 FastEth

22、ernet0/17 FastEthernet0/18 FastEthernet0/19 FastEthernet0/20 FastEthernet0/21 FastEthernet0/22 FastEthernet0/23 FastEthernet0/24 GigabitEthernet0/1 GigabitEthernet0/2第 6 页，共 8 页S1#使用b.erface range 命令可以一次关闭多个接口。S1(config)#erface range f0/14, f0/7-24 , g0/1-2S1(config-if-range)# shutdownS1(config-if-r

23、ange)# endS1#检验所有非活动接口是否已管理性关闭。c.S1# showerface Vlan1iperface briefIP-Address 192.168.1.11unassignedunassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned un

24、assigned unassigned unassigned unassigned unassignedOK？Method SusProtocol updowndown down down up up down down down down down down down down down down down down down down down down down down down downYES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES

25、YES YESmanual unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unset unsetup administratively administratively administratively administratively upup administratively administratively administratively admi

26、nistratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administratively administrativelyFastEthernet0/1

27、FastEthernet0/2 FastEthernet0/3 FastEthernet0/4 FastEthernet0/5 FastEthernet0/6 FastEthernet0/7 FastEthernet0/8 FastEthernet0/9 FastEthernet0/10 FastEthernet0/11 FastEthernet0/12 FastEthernet0/13 FastEthernet0/14 FastEthernet0/15 FastEthernet0/16 FastEthernet0/17 FastEthernet0/18 FastEthernet0/19 Fa

28、stEthernet0/20 FastEthernet0/21 FastEthernet0/22 FastEthernet0/23 FastEthernet0/24down down downdowndown down down down down down down down down down down down down down down down down down down downGigabitEthernet0/1GigabitEthernet0/2 S1#unassignedunassigned第 5 步：检验您的安全措施是否正确实施。a.b.c.检验交换机上已禁用net。通过 SSH 连接到交换机并有意输错用户和信息，以查看是否登录。达到 30 秒之后，通过 SSH 重新连接 S1，并使用用户名 admin 和成功登录后是否显示了标语？Admin15p55 登录。d.使用 Enablep55 作