Cisco packet tracer dasturida port xavfsizligini ta’minlash

Packet 

Tracer 

dasturida kommutatorning port 

havfsizligini funksiyasi bilan tanishish va amaliy ko`nikmalarga ega bo`lish . 

  

Nazariy qism.  

Port xavfsizligi 

Cisco 

catalyst 

kerak 

bo'lgan xususiyatdir. Ethernet freymlari tugmachadan 

o'tib , 

MAC 

manzil 

freymlarda 

ko'rsatilgan 

yuboruvchi 

manzilidan foydalanib 

to'ldiradi . Ushbu  jadvalning  maksimal  hajmi  cheklangan,  tajovuzkor  uchun  uni 

to'ldirish qiyin bo'lgani kabi qiyin emas, tasodifiy qaytish manzillari bilan ko'plab 

freymlarni yaratadigan maxsus dasturlardan foydalanish kifoya. 

 Nega  sizga  kerak  bo'lishi  mumkin? MAC-manzil  jadvali  to'lib  toshgan 

taqdirda,  kommutator markaz vazifasini  bajarishi  mumkin -  ya'ni  barcha  qabul 

qilingan  kadrlarni  barcha  portlarga  yuborish. Hujumchining  keyingi  harakati  -

 snaynerni ishga tushirish    Bizning switch vahima holatida buyon, barcha kiruvchi 

paketlarni  ko'rish  uchun  dastur,  va  tajovuzkor  ning  portiga  bir  xil  VLAN  unga 

o'tib,  barcha  paketlari  ko'rinadigan  bo'ladi tajovuzkor . Bunday  vaziyatni  oldini 

olish uchun siz port xavfsizligi barcha kommutatorlarda ishlashiga oldindan e'tibor 

berishingiz kerak . 

Ushbu  funktsiyaning  mohiyati  nimada:  u  yoki  bu  tarzda  har  bir  port  uchun 

unda  paydo  bo'lishi  mumkin  bo'lgan  MAC-manzillar  ro'yxati  (yoki  raqami) 

cheklangan,  agar  portda  juda  ko'p  manzillar  ko'rinadigan  bo'lsa,  u  holda  port 

o'chadi. Shunday  qilib,  ko'rish  qiyin  emasligi  sababli  tasodifiy  qaytish  manzillari 

bilan freymlarni yaratish g'oyasi tezda muvaffaqiyatsiz bo'ladi. 

MAC manzillariga cheklovlarni kiritishning ikki yo'li mavjud: 

1. 

ro'yxatlashganda 

2. 

aniqlaganda va o'tish tugmasi bilib oladi, qaysi manzilga hozirda ko'rsatilgan port 

orqali kirish mumkinligini eslab qoladi 

O'z  navbatida,  dinamik  ravishda  o'rganilgan  manzillar  kommutatorning 

RAM-da saqlanishi mumkin, bu holda qayta ishga tushirilgandan so'ng "o'rganish" 

ni 

takrorlash 

kerak 

bo'ladi; yoki konfiguratsiyada - 

keyin konfiguratsiyani 

saqlash mumkin va qayta yuklangandan keyin ham manzillar qoladi. Ikkinchi rejim 

"yopishqoq"  ( yopishqoq ) deb  nomlanadi ,  chunki  u  portga  qanday  yopishish 

kerakligi  haqida  gapiradi,  shundan  so'ng  "unstick"  ularni  faqat  administrator 

qilishlari  mumkin  -  qo'lda. Yana  bir  savol  -  agar  xavfsizlik  buzilgan  bo'lsa 

va portga xavfsizlikni sozlashimizga qaraganda ko'proq manzillar kirsa nima qilish 

kerak ? Ushbu holatdagi o'tish rejimiga uchta rejimdan biri javobgardir: 



olinmaydi,  qolganlari  ham  ishlashda  davom  etmoqda. Rejim  yaxshi,  chunki  port 

ishlashda  davom  etmoqda,  ammo  yomon  tomoni  shundaki, administrator o'z 

tarmog'ida bunday g'alati narsalar yuz berayotganini hech qachon bilmaydi



 

orqali bunday noxush holat yuz berganligi to'g'risida xabar beradi, bundan tashqari, 

bu haqda syslog- ga ma'lumot yozadi (agar tuzilgan bo'lsa)



O'chirish -  nomidan  ko'rinib  turibdiki, syslog va  SNMP  orqali xabarlarga 

qo'shimcha  ravishda port  o'chadi. Bu  tarmoq  xatolariga  bardoshlik  nuqtai 

nazaridan  unchalik  yaxshi  emas,  lekin  biz portni qo'lda yoqmagunimizcha 

tajovuzkor o'z 

tarmog'imizni 

o'rganish 

bo'yicha 

tajribalarini 

davom 

Endi biz butun nazariyani bilamiz, keling, port xavfsizligini sozlashga harakat 

S1#configure terminal 

S1(config)#interface fastEthernet 0/11 

S1(config-if)#switchport mode access 

S1(config-if)#switchport port-security 

Shunday  qilib,  biz  ushbu  funktsiyani  interfeysda  standart  qiymatlari  bilan 

yoqdik, ya'ni: 





Xotira rejimi dinamikasi (RAMda, yopishqoq emas )



 

Bu  siz  portiga  11,  uchun,  kompyuterni  ulash  tekshirish  oson Ping narsa, 

qo'yilgan holatga kiradi . Portni qayta yoqish uchun uni o'chirib yoqishingiz kerak: 

S1(config)#interface fastEthernet 0/11 

S1(config-if)#shutdown  

%LINK-5-CHANGED:  Interface  FastEthernet0/11,  changed  state  to 

administratively down 

S1(config-if)#no shutdown  

%LINK-5-CHANGED: Interface FastEthernet0/11, changed state to up 

%LINEPROTO-5-UPDOWN:  Line  protocol  on  Interface  FastEthernet0/11, 

changed state to up 

Amaldagi port xavfsizligini quyidagi buyruq bilan ko'rish mumkin: 

S1#show port-security  

Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action 

               (Count)       (Count)        (Count) 

-------------------------------------------------------------------- 

        Fa0/11        1          1                 0         Shutdown 

---------------------------------------------------------------------- 

Jadvalda  siz  maksimal  1 MAC ekanligini  ko'rishingiz  mumkin va  u 

allaqachon o'rganilgan, harakat O'chirish . 

Qayta  switch,  saqlanishi  MAC  unutiladi  va  bu  oldini  olish  uchun  qayta-

o'rganish  kerak  bo'lsa,  u  MAC-  yod  "yopishqoq"  o'z  ichiga  zarur s . Shu  bilan 

birga, keling, ularning sonini beshdan oshiraylik: 

S1(config)#interface fastEthernet 0/11 

S1(config-if)#switchport port-security mac-address sticky 

S1(config-if)#switchport port-security maximum 5 

Agar  biz  manzillarni  statik  ravishda  qo'lda  ro'yxatlashni  istasak, 

unda yopishqoq so'z  o'rniga (yoki unga parallel  ravishda -  alohida  satrda)  ularni 

quyidagi buyruq bilan ro'yxatlashimiz mumkin: 

S1 ( config -if) # switchport port-security mac-address 1234.abcd.1234

Ammo 

biz 

statik 

qo'shmadik, 

shunchaki yopishqoq rejimni yoqdik . Biz kompyuterdan ping qilishga 

harakat 

S1#show running-config  

Building configuration... 

Current configuration : 1185 bytes 

! 

version 12.2 

no service timestamps debug datetime msec 

no service password-encryption 

! 

hostname S1 

interface FastEthernet0/1 

 switchport mode access 

 switchport port-security 

 switchport port-security mac-address sticky  

 switchport port-security mac-address sticky 0001.4276.96B5 

… 

Biz 

ko'ramiz? «switchport 

port-security  mac-address  sticky 

0001.4276.96B5»    qatori  kompyuter  manzilini  eslab  qolganligini  va  "portga 

yopishib  qolgan"  degan  ma'noni  anglatadi,  go'yo  biz  o'zimiz  uni  statik  ravishda 

haydab 

siz 

va kommutatorni qayta tayyorlash kerak bo'lmaydi. 

Xulosa  shuki, port xavfsizlik xususiyati  hisoblanadi modernizatsiya  qilish 

uchun juda oson va juda yaxshi hujumlar ba'zi turlariga qarshi yordam beradi. 

Barchalarga salom, bugun men Cisco 3560 misolidan foydalanib OSI modelidagi cisco 3 darajali kalitlarni qanday sozlash haqida savolni ko'rib chiqmoqchiman. Shuni eslatib o'tamanki, cisco 3 darajali kalitlar Internetga shlyuz sifatida kirish uchun ishlatilmaydi, lekin faqat mahalliy tarmoqdagi vlan o'rtasida marshrut trafigi ... Cisco, barcha sotuvchilar singari, Internetga kirish uchun yo'riqchini taqdim qiladimi? eng keng tarqalgan ulanish diagrammasi quyida ko'rsatilgan.

Uskunalar va tarmoq diagrammasi

Menda cisco 3560 Layer 3 tugmachasi bor, u 24 ta portga ega, deylik.

U mening mahalliy tarmog'imdagi vlan o'rtasida trafikni yo'naltiradi va OSI modelining 2 darajasidagi 3 ta kalit, kirish darajasi, cisco 2960 kalitlari va cisco 3560 o'zi tarqatish darajasida ishlaydi. Eslatib o'taman, ikkinchi darajadagi trafik mac manzillari asosida almashtiriladi. Kirish darajasi - bu so'nggi qurilmalar ulangan joy, bizning holatlarimizda kompyuterlar, serverlar yoki printerlar .. Quyida diagramma mavjud.

Layer 2 Switch nima?

Ikkinchi qavat kaliti - bu OSI tarmoq modelining ikkinchi qavatida ishlaydigan apparatning bir qismi

• 
  Ko'knori manzillari asosida trafikni almashtiradi
  
• 
  Kirish darajasi sifatida ishlatiladi
  
• 
  Mahalliy tarmoqlarni birlamchi segmentatsiyasi uchun xizmat qiladi
  
• 
  Port / foydalanuvchi uchun eng past narx
  

3-darajali almashtirish nima?

• 
  IP-marshrutlash
  
• 
  Kirish katlamini birlashtirish
  
• 
  Tarqatish qatlami kalitlari sifatida foydalaning
  
• 
  Yuqori ishlash
  

Sinov skameykasini yaratishda menga tarmoq simulyatori, Cisco packet tracer 6.2 yordam beradi. Siz Cisco packac tracer 6.2-ni bu yerdan yuklab olishingiz mumkin. Mana mening test saytimning batafsil diagrammasi. Yadro sifatida menda 3560 cisco katalizatori bor, uning ikkita vlani bor: 2 va 3, statik ip adreslari VLAN2 192.168.1.251 va VLAN3 192.168.2.251. Quyida VLAN-larni tashkil qilish uchun va yuqori darajadagi ulanish sifatida ishlatiladigan ikkita kirish darajasining kalitlari mavjud. Mahalliy tarmoqda 4 ta kompyuter mavjud, har bir vlanda ikkitadan. Vlan2 dan PC3 vlan3 dan PC5ni pinglashi kerak.

Biz qaror qilgan maqsad bilan siz boshlashingiz mumkin. Men bu erda vlan nima ekanligini o'qiy olmayman.

Cisco Layer 2 kalitini sozlash

Layer 2 tugmachasini sozlash juda oddiy. Cisco katalizatori 2960 ni sozlashni boshlaymiz, chunki mening PC03 va PC04 kompyuterlarim Switch0 ga ulangan, fa0 / 1 va fa0 / 2 portlari. Rejaga ko'ra, bizning Switch0-da ikkita vlan bo'lishi kerak. Keling, ularni yaratishga kirishamiz. Biz imtiyozli rejimga o'tamiz va buyruqni kiritamiz

Biz VLAN2 va VLAN3 ni yaratamiz. Buning uchun buyruqni yozing

nomini qo'ying, VLAN2 bo'lsin

Biz uni qoldiramiz

Endi vlan 2 ga fa0 / 1 interfeysini, vlan 3 ga esa fa0 / 2 interfeysini qo'shamiz.

int fa 0/1

Port kirish rejimida ishlaydi deb aytamiz

switchport rejimiga kirish

biz uni VLAN2 ga tashlaymiz

switchport kirish vlan 2

Endi vlan 3 ga fa0 / 2 qo'shamiz.

switchport rejimiga kirish

switchport kirish vlan 3

Endi bularning hammasini buyruq yordamida kalit xotirasida saqlaylik

Endi magistral portini sozlaymiz. Magistral port sifatida men gigabit port gig 0/1 ga ega bo'laman. Gig 0/1 portini sozlash uchun buyruqni kiritamiz.

Uni magistral rejimiga o'tkazamiz

switchport rejimi magistrali

Va kerakli vlanlarni magistral orqali hal qilamiz

Endi xuddi shu usul VLAN2-da Switch1 va PC5 kalitlarini va VLAN3-da PC6-ni sozlaydi. Biz hamma narsani OSI modelining ikkinchi darajasida tugatdik, uchinchi darajaga o'ting.

Cisco 3560-ni sozlash

Cisco 3560-ni sozlash quyidagicha amalga oshiriladi. chunki bizning yadro ichki mahalliy trafikni yo'naltirishi kerak, biz bir xil vlanni yaratishimiz, ularga ip-manzillarni o'rnatishimiz kerak, chunki ular standart shlyuzlar va magistral portlari sifatida ishlaydi.

Magistral portlardan boshlaymiz, bizda gig 0/1 va gig 0/2 mavjud.

interfeys sozlamalariga o'ting gig 0/1 va gig 0/2

int oralig'i gig 0 / 1-2

Magistral rejimini yoqishga harakat qilaylik

switchport rejimi magistrali

ammo oxir-oqibat sizga shunday ishora keladi: Buyruq rad etildi: Magistral kapsulasi "Avtomatik" bo'lgan interfeysni "magistral" rejimiga sozlash mumkin emas. Uning ma'nosi shundan iboratki, sizga avval paketlarni kapsulalashni yoqish taklif etiladi. Keling, Cisco 3560-ga inkapsulyatsiya o'rnatamiz.

switchport magistral kapsulasi dot1q

Endi biz rejim va ruxsat berilgan vlanni ko'rsatamiz

switchport rejimi magistrali

switchport magistraliga ruxsat berilgan vlan 2,3

(Uyga vazifa: ip 172.10.10.1, 172.10.10.2, 172.10.10.3 uchta kalitni ulang

- shifrlangan parol bilan ikkita mahalliy foydalanuvchi yaratish

burch plevel 5 o'tish: qo'llab-quvvatlash

administrator plevel 15 pass: root

- barcha kalitlarda telnetni ochish