15-laboratoriya ishi mavzu: cisco packet tracer dasturida port havfsizligini ta`minlash ishdan maqsad



Yüklə 11,24 Kb.
səhifə1/2
tarix22.12.2023
ölçüsü11,24 Kb.
#189592
  1   2
8-laboratoriya-ishi-cisco-packet-tracer-dasturida-port-havfsizli-fayllar.org


8-laboratoriya-ishi-cisco-packet-tracer-dasturida-port-havfsizli




15-LABORATORIYA ISHI 

MAVZU: CISCO PACKET TRACER DASTURIDA PORT HAVFSIZLIGINI
TA`MINLASH 

Ishdan maqsad : Cisco Packet Tracer dasturida kommutatorning port havfsizligini
funksiyasi bilan tanishish va amaliy kònikmalarga ega bo`lish.
Nazariy qism.
Port xavfsizligi - Cisco catalyst kommutatorlari tavsifi va ularni sozash Port xavfsizligi
Cisco catalyst kommutatorlarida foydalanish kerak bo'lgan xususiyatdir. Ethernet freymlari
tugmachadan o'tib , MAC manzil jadvalini ushbu freymlarda ko'rsatilgan yuboruvchi
manzilidan foydalanib to'ldiradi . Ushbu jadvalning maksimal hajmi cheklangan, tajovuzkor
uchun uni to'ldirish qiyin bo'lgani kabi qiyin emas, tasodifiy qaytish manzillari bilan ko'plab
freymlarni yaratadigan maxsus dasturlardan foydalanish kifoya.
Nega sizga kerak bo'lishi mumkin? MAC-manzil jadvali to'lib toshgan taqdirda,
kommutator markaz vazifasini bajarishi mumkin - ya'ni barcha qabul qilingan kadrlarni
barcha portlarga yuborish. Hujumchining keyingi harakati - snaynerni ishga tushirish
Bizning switch vahima holatida buyon, barcha kiruvchi paketlarni ko'rish uchun dastur, va
tajovuzkor ning portiga bir xil VLAN unga o'tib, barcha paketlari ko'rinadigan bo'ladi
tajovuzkor . Bunday vaziyatni oldini olish uchun siz port xavfsizligi barcha
kommutatorlarda ishlashiga oldindan e'tibor berishingiz kerak .
Ushbu funktsiyaning mohiyati nimada: u yoki bu tarzda har bir port uchun unda paydo
bo'lishi mumkin bo'lgan MAC-manzillar ro'yxati (yoki raqami) cheklangan, agar portda juda
ko'p manzillar ko'rinadigan bo'lsa, u holda port o'chadi. Shunday qilib, ko'rish qiyin emasligi



sababli tasodifiy qaytish manzillari bilan freymlarni yaratish g'oyasi tezda muvaffaqiyatsiz


bo'ladi.
MAC manzillariga cheklovlarni kiritishning ikki yo'li mavjud:
1. Statik - administrator qaysi manzillarga ruxsat berilganligini ro'yxatlashganda
2. Dinamik - ma'mur nechta manzilga ruxsat berilishini aniqlaganda va o'tish tugmasi
bilib oladi, qaysi manzilga hozirda ko'rsatilgan port orqali kirish mumkinligini eslab qoladi
O'z navbatida, dinamik ravishda o'rganilgan manzillar kommutatorning RAM-da
saqlanishi mumkin, bu holda qayta ishga tushirilgandan so'ng "o'rganish" ni takrorlash kerak
bo'ladi; yoki konfiguratsiyada - keyin konfiguratsiyani saqlash mumkin va qayta
yuklangandan keyin ham manzillar qoladi. Ikkinchi rejim "yopishqoq" ( yopishqoq ) deb
nomlanadi ,chunki u portga qanday yopishish kerakligi haqida gapiradi, shundan so'ng
"unstick" ularni faqat administrator qilishlari mumkin - qo'lda. Yana bir savol - agar
xavfsizlik buzilgan bo'lsa va portga xavfsizlikni sozlashimizga qaraganda ko'proq manzillar
kirsa nima qilish kerak ? Ushbu holatdagi o'tish rejimiga uchta rejimdan biri javobgardir:

Himoya qilish - yangi MAC-manzillarga ega bo'lgan ramkalar e'tiborga
olinmaydi, qolganlari ham ishlashda davom etmoqda. Rejim yaxshi, chunki port
ishlashda davom etmoqda, ammo yomon tomoni shundaki, administrator o'z
tarmog'ida bunday g'alati narsalar yuz berayotganini hech qachon bilmaydi

Cheklash - himoya qilish rejimiga o'xshaydi, faqat kommutator SNMP
orqali bunday noxush holat yuz berganligi to'g'risida xabar beradi, bundan tashqari,
bu haqda syslog- ga ma'lumot yozadi (agar tuzilgan bo'lsa)




O'chirish - nomidan ko'rinib turibdiki, syslog va SNMP orqali xabarlarga


qo'shimcha ravishda port o'chadi. Bu tarmoq xatolariga bardoshlik nuqtai nazaridan
unchalik yaxshi emas, lekin biz portni qo'lda yoqmagunimizcha tajovuzkor o'z
tarmog'imizni o'rganish bo'yicha tajribalarini davom ettira olmasligini aniq bilamiz .
Endi biz butun nazariyani bilamiz, keling, port xavfsizligini sozlashga harakat qilaylik
:
Switch ichiga kodlarni kiritamiz:
Switch>en
Switch#config
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int range fa0/1-24



Switch(config-if-range)#switchport mode access


Switch(config-if-range)#switchport port-security
Switch(config-if-range)#switchport port-security mac-address sticky
Switch(config-if-range)#switchport port-security violation restrict
Switch(config-if-range)#exit
Switch(config)#exit
Switch#
%SYS-5-CONFIG_I: Configured from console by console
Switch#
Switch#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------
Fa0/1 1 1 0 Restrict
Fa0/2 1 0 0 Restrict
Fa0/3 1 0 0 Restrict
Fa0/4 1 0 0 Restrict
Fa0/5 1 0 0 Restrict
Fa0/6 1 0 0 Restrict
Fa0/7 1 0 0 Restrict
Fa0/8 1 0 0 Restrict
Fa0/9 1 0 0 Restrict
Fa0/10 1 0 0 Restrict



Fa0/11 1 0 0 Restrict


Fa0/12 1 0 0 Restrict
Fa0/13 1 0 0 Restrict
Fa0/14 1 0 0 Restrict
Fa0/15 1 0 0 Restrict
Fa0/16 1 0 0 Restrict
Fa0/17 1 0 0 Restrict
Fa0/18 1 0 0 Restrict
Fa0/19 1 0 0 Restrict
Fa0/20 1 0 0 Restrict
Fa0/21 1 0 0 Restrict
Fa0/22 1 0 0 Restrict
Fa0/23 1 0 0 Restrict
Fa0/24 1 0 0 Restrict
----------------------------------------------------------------------
Switch#
Switch#
Switch#
Switch#show mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 00e0.b08e.c601 STATIC Fa0/1



Switch#
Switch#


Switch#conf
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int fa0/1
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security mac-address sticky 1 00e0.b08e.c601
Total secure mac-addresses on interface FastEthernet0/1 has reached maximum limit.
Switch(config-if)#exit
Switch(config)#exit
Switch#
%SYS-5-CONFIG_I: Configured from console by console
Switch#
Switch#wr
Building configuration...
[OK]
Switch#show mac-address-table



Mac Address Table


-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 00e0.b08e.c601 STATIC Fa0/1
Switch#











Yüklə 11,24 Kb.

Dostları ilə paylaş:
  1   2




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin