PT-练习-2.4.7：配置交换机安全性(教师版)

所有内容版权所有©1992–2007CiscoSystems,Inc.保留所有权利。本文档为Cisco公开信息。第1页（共6页）PT练习2.4.7：配置交换机安全性（教师版）拓扑图编址表设备接口IP地址子网掩码S1VLAN99172.17.99.11255.255.255.0PC1网卡172.17.99.21255.255.255.0PC2网卡172.17.99.32255.255.255.0学习目标•配置基本交换机管理•配置动态端口安全性•测试动态端口安全性•保护未使用端口的安全任务1：配置基本交换机管理步骤1：从PC1建立到S1的控制台连接。•单击PC1，然后单击Desktop（桌面）选项卡。选择桌面选项卡中的Terminal（终端）。•保留终端配置的下列默认设置不变，然后单击OK（确定）：BitsPerSecond（每秒位数）=9600CCNAExplorationLAN交换和无线：交换机基本概念和配置PT练习2.4.7：配置交换机安全性所有内容版权所有©1992–2007CiscoSystems,Inc.保留所有权利。本文档为Cisco公开信息。第2页（共6页）DataBits（数据位）=8Parity（奇偶校验）=None（无）StopBits（停止位）=1FlowControl（流量控制）=None（无）•现在已建立到S1的控制台连接。按Enter进入交换机提示符。步骤2：变更到特权执行模式。要使用特权执行模式，键入enable命令。提示符从变为#。S1enableS1#注意您是如何能够不提供口令而进入特权执行模式的。为什么缺少特权执行模式口令是一个安全威胁？________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________特权执行模式允许任何在Cisco交换机上启用该模式的用户配置交换机可用的任何选项。用户可以查看交换机的所有当前设置，甚至包括一些未加密的口令。有鉴于此，确保访问特权执行模式的安全性是非常重要的。步骤3：变更到全局配置模式配置特权执行模式口令。•在特权执行模式下，您可以使用configureterminal命令访问全局配置模式。•使用enablesecret命令设置口令。对于本练习，请将口令设置为class。S1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.S1(config)#enablesecretclassS1(config)#注：PT不会给enablesecret命令评分。步骤4：配置虚拟终端和控制台的口令并要求用户通过口令登录。访问控制台线路应当需要口令。即使最基本的用户执行模式也能给恶意用户提供重要信息。另外，vty线路必须有口令，用户从远程访问交换机时必须先输入口令。•使用lineconsole0命令进入控制台提示符。•使用password命令将控制台和vty线路的口令配置为cisco。注：这种情况下，PT不会给passwordcisco命令评分。•然后输入login命令，它要求用户先输入口令，然后才能进入用户执行模式。•对vty线路重复上述过程。使用linevty015命令进入正确的提示符。•键入exit命令，返回全局配置提示符。S1(config)#lineconsole0S1(config-line)#passwordciscoS1(config-line)#loginS1(config-line)#linevty015S1(config-line)#passwordciscoS1(config-line)#loginS1(config-line)#exitS1(config)#CCNAExplorationLAN交换和无线：交换机基本概念和配置PT练习2.4.7：配置交换机安全性所有内容版权所有©1992–2007CiscoSystems,Inc.保留所有权利。本文档为Cisco公开信息。第3页（共6页）步骤5：配置口令加密特权执行口令已经加密。要对刚才配置的线路口令加密，请在全局配置模式下输入servicepassword-encryption命令。S1(config)#servicepassword-encryptionS1(config)#步骤6：配置并测试MOTD标语。配置当天消息(MOTD)，文本使用AuthorizedAccessOnly（仅限授权访问）。标语文本区分大小写。请勿在标语文本前后添加空格。在标语文本前后使用定界符指示文本从何处开始，到何处结束。下例中使用的定界符为&，但是您可以使用标语文本中未使用的任何字符。配置完MOTD后，从交换机注销，然后再次登录，检查是否显示了上述标语。S1(config)#bannermotd&AuthorizedAccessOnly&S1(config)#end[orexit]S1#exitS1con0isnowavailablePressRETURNtogetstarted.[Enter]AuthorizedAccessOnlyUserAccessVerificationPassword:•现在口令提示符要求输入口令才能进入用户执行模式。输入口令Cisco。•使用口令class进入特权执行模式，然后使用configureterminal命令返回全局配置模式。Password:[cisco]!注：键入口令时，口令将会自动隐藏。S1enablePassword:[class]!注：键入口令时，口令将会自动隐藏。S1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.S1(config)#步骤7：检查结果。完成百分比应当为40%。如果不是，请单击CheckResults（检查结果），查看哪些需要的组件尚未完成。任务2：配置动态端口安全性步骤1：启用VLAN99。PacketTracer启动时，VLAN99接口处在关闭状态，但实际的交换机并不是这样运作。必须使用noshutdown命令启用VLAN99，然后该接口在PacketTracer中才变为活动状态。S1(config)#interfacevlan99S1(config-if)#noshutdownCCNAExplorationLAN交换和无线：交换机基本概念和配置PT练习2.4.7：配置交换机安全性所有内容版权所有©1992–2007CiscoSystems,Inc.保留所有权利。本文档为Cisco公开信息。第4页（共6页）步骤2：进入FastEthernet0/18的接口配置模式并启用端口安全性。首先必须启用端口安全性，才能在接口上使用其它端口安全性命令。S1(config-if)#interfacefa0/18S1(config-if)#switchportport-security请注意，无需退回到全局配置模式便可进入fa0/18的接口配置模式。步骤3：配置MAC地址的最大数量。要配置端口使其只允许学习一个MAC地址，请将maximus设置为1：S1(config-if)#switchportport-securitymaximum1注：PT不会给switchportport-securitymaximum1命令评分，但此命令对配置端口安全性非常重要。步骤4：配置端口将MAC地址添加到运行配置中。可以把端口学习的MAC地址添加（“粘滞”）到端口的运行配置中。S1(config-if)#switchportport-securitymac-addresssticky注：PT不会给switchportport-securitymac-addresssticky命令评分，但此命令对配置端口安全性非常重要。步骤5：配置端口在发生端口安全违规事件时自动关闭。如果不配置以下命令，则S1只会将违规事件登记在端口安全性统计信息中，而不会关闭端口。S1(config-if)#switchportport-securityviolationshutdown注：PT不会给switchportport-securityviolationshutdown命令评分，但此命令对配置端口安全性非常重要。步骤6：确认S1已学习到PC1的MAC地址。从PC1pingS1。确认S1现在的MAC表中有PC1的静态MAC地址：S1#showmac-address-tableMacAddressTable-------------------------------------------VlanMacAddressTypePorts----------------------------990060.5c5b.cd23STATICFa0/18该MAC地址现已“粘滞”到运行配置。S1#showrunning-configoutputomittedinterfaceFastEthernet0/18switchportaccessvlan99switchportmodeaccessswitchportport-securityswitchportport-securitymac-addressstickyswitchportport-securitymac-addresssticky0060.5C5B.CD23省略部分输出S1#CCNAExplorationLAN交换和无线：交换机基本概念和配置PT练习2.4.7：配置交换机安全性所有内容版权所有©1992–2007CiscoSystems,Inc.保留所有权利。本文档为Cisco公开信息。第5页（共6页）步骤7：检查结果。完成百分比应当为70%。如果不是，请单击CheckResults（检查结果），查看哪些需要的组件尚未完成。任务3：测试动态端口安全性步骤1：拆除PC1与S1之间的连接，将PC2与S1相连。•要测试端口安全性，请拆除PC1与S1之间的以太网连接。如果不小心拆除了控制台电缆连接，只需重新连上。•将PC2连接到S1的Fa0/18。等待琥珀色链路指示灯变绿，然后从PC2pingS1。端口随后应当自动关闭。步骤2：确认端口安全性是导致端口关闭的原因。要确认端口关闭的原因与端口安全性有关，请输入命令showinterfacefa0/18。S1#showinterfacefa0/18FastEthernet0/18isdown,lineprotocolisdown(err-disabled)HardwareisLance,addressis0090.213e.5712(bia0090.213e.5712)省略部分输出由于交换机端口从不同于已学习到的MAC地址接收到帧而发生错误(err)，致使线路协议关闭，因而CiscoIOS软件关闭了(disabled)该端口。也可以使用showport-securityinterfacefa0/18命令检验安全违规事件。S1#showport-securityinterfacefa0/18PortSecurity:EnabledPortStatus:Secure-shutdownViolationMode:ShutdownAgingTime:0minsAgingType:AbsoluteSecureStaticAddressAging:DisabledMaximumMACAddresses:1TotalMACAddresses:1ConfiguredMACAddresses:1StickyMACAddr