GNS3 là 1 chương trình giả lập mạng có giao diện đồ họa cho phép chúng ta có thể giả lập các Cisco router sử dụng IOS thật ,ngoài ra còn có ATMFrame RelayEthernet Switch ,Pix Firewall thậm chí kết nối vào hệ thống mạng thật GNS3 được phát triển dựa trên Dynamips và Dynagen để mô phỏng các dòng router 1700,2600,3600,3700,7200 có thể sử để triển khai các bài lab của CCNA,CCNP,CCIE nhưng hiện tại vẫn chưa mô phỏng được Catalyst Switch (mặc dù có thể giả lập NM16ESW trên router 3700 chạy IOS 3725)
TÀI LIỆU CCNA – THỰC HÀNH CẤU HÌNH ROUTING TRÊN GNS3 MỤC LỤC TỔNG QUAN VỀ PHẦN MỀM MÔ PHỎNG GNS3 I GIỚI THIỆU CÀI ĐẶT GNS3 CẤU HÌNH GNS3 & CÀI ĐẶT IOS CHO GNS3 11 KẾT NỐI GNS3 VỚI MẠNG THẬT & VMWARE 15 II GIỚI THIỆU VỀ ROUTER & MỘT SỐ CẤU HÌNH CƠ BẢN .18 PHẦN MỀM HỆ ĐIỀU HÀNH CISCO IOS 18 1.1 Mục đích phần mềm Cisco IOS 18 1.2 Giao diện người dùng router 18 CÁC CHẾ ĐỘ CẤU HÌNH ROUTER 18 2.1 Phím trợ giúp router CLI 21 2.2 Mở rộng thêm cách viết câu lệnh 22 2.3 Xử lý lỗi câu lệnh 23 CẤU HÌNH ROUTER 24 3.1 Chế độ giao tiếp dòng lệnh CLI 25 3.2 Đặt tên cho router 25 3.3 Đặt mật mã cho router 26 3.4 Cấu hình cổng serial 28 3.5 Thực việc thêm bớt, dịch chuyển thay đổi tập tin cấu hình 29 3.6 Cấu hình cổng Ethernet 30 3.7 Hồn chỉnh cấu hình router 31 ĐỊNH TUYẾN VÀ CÁC GIAO THỨC ĐỊNH TUYẾN 33 GIỚI THIỆU .34 TỔNG QUAN VỀ ĐỊNH TUYẾN VÀ ĐỊNH TUYẾN TĨNH 34 1.1 Giới thiệu giao thức định tuyến tĩnh 34 1.2 Hoạt động định tuyến tĩnh 34 1.3 Cấu hình định tuyến tĩnh 35 1.4 Cấu hình đường cố định 36 TỔNG QUAN VỀ ĐỊNH TUYẾN ĐỘNG 37 2.1 Giới thiệu giao thức định tuyến động 37 2.2 Autonmous sytem(AS) (Hệ thống tự quản) 37 2.3 Mục đích giao thức định tuyến hệ thống tự quản 38 PHÂN LOẠI CÁC LOẠI ĐỊNH TUYẾN 38 3.1 Định tuyến theo vectơ khoảng cách 39 3.2 Tổng quát giao thức định tuyến 45 TỔNG QUAN VỀ GIAO THỨC ĐỊNH TUYẾN RIP 46 4.1 Giới thiệu giao thức RIP 46 4.2 Tiến trình RIP 47 4.3 So sánh RIPv1 RIPv2 47 4.4 Cấu hình RIPv2 48 4.5 Kiểm tra cấu hình RIP 51 4.6 Xử lý cố hoạt động cập nhật RIP 52 4.7 Ngăn không cho router gửi thông tin định tuyến cổng giao tiếp 53 4.8 Load Balancing RIPv2 54 4.9 Chia tải cho nhiều đường 55 TỔNG QUAN VỀ GIAO THỨC ĐỊNH TUYẾN OSPF 56 5.1 Giới thiệu giao thức OSPF 56 5.2 Cơ chế hoạt động OSPF 57 5.3 Cấu hình tiến trình định tuyến OSPF 58 5.4 Cấu hình địa loopback cho OSPF quyền ưu tiên cho router 59 5.5 Thay đổi giá trị chi phí Load Balancing OSPF 61 5.6 Cấu hình trình xác minh cho OSPF 62 5.7 Cấu hình thơng số thời gian OSPF 64 5.8 OSPF thực quảng bá đường mặc định 65 5.9 Những lỗi thường gặp cấu hình OSPF 65 5.10.Kiểm tra cấu hình OSPF 66 TỔNG QUAN VỀ GIAO THỨC EIGRP 67 6.1 Giới thiệu 67 6.3 Cấu hình định tuyến EIGRP 69 6.4 Cấu hình xác thực EIGRP 71 6.5 Load Balancing EIGRP 72 6.6 Kiểm tra hoạt động EIGRP 72 SNIFFER TRONG MẠNG CISCO VÀ CÁCH PHÒNG CHỐNG 75 7.1 Khái niệm Sniffer 75 7.2 Mục đích sử dụng 76 7.3 Các giao thức sử dụng Sniffing 76 7.4 Phương thức hoạt động Sniffer 76 7.4.1 Active 77 7.4.2 Passive 77 7.5 Các kiểu công 77 7.6 Phòng chống sniffer 78 SMB/CIFS 78 Keberos: 79 Stanford SRP (Secure Remote Password): 79 OpenSSH … 79 VPNs (Virtual Private Network) 79 Static ARP Table 79 Quản lý port console Switch 80 Port Security 80 I TỔNG QUAN VỀ PHẦN MỀM MÔ PHỎNG GNS3 GIỚI THIỆU GNS3 chương trình giả lập mạng có giao diện đồ họa cho phép giả lập Cisco router sử dụng IOS thật ,ngoài cịn có ATM/Frame Relay/Ethernet Switch ,Pix Firewall chí kết nối vào hệ thống mạng thật GNS3 phát triển dựa Dynamips Dynagen để mơ dịng router 1700,2600,3600,3700,7200 sử để triển khai lab CCNA,CCNP,CCIE chưa mô Catalyst Switch (mặc dù giả lập NM-16ESW router 3700 chạy IOS 3725) CÀI ĐẶT GNS3 GNS3 chạy Windows,Linux Mac OSX.Để cài đặt phần mềm Window dễ dàng sử dụng cài đặt all-in-one cung cấp thứ cần để chạy GNS3 Chúng ta download GNS3 http://www.gns3.net/download Sau tải phần mềm bắt đầu tiến hành cài đặt: Chọn GNS3-0.8.3.1-win32all-in-one.exe Chọn I Agree để đồng ý với điều khoản tiếp tục cài đặt Chọn tên để tạo nên thư mục program’s shortcuts -> nhấn Next > Chọn để cài đặt thêm phần mềm bổ trợ kèm với GNS3 -> nhấn Next > Chọn đường dẫn phân vùng để cài đặt phần mềm -> nhấn Install để tiến hành cài đặt EIGRP hỗ trợ cho IP, IPX Apple Talk nhờ có cấu trúc phần theo giao thức (PDMs – Protocol-dependent modules) EIGRP phân phối thông tin IPX RIP SAP để cải tiến hoạt động tồn diện Trên thực tế, EIGRP điều khiển hai giao thức Router EIGRP nhận thông tin định tuyến dịch vụ, cập nhật cho router khác thông tin bảng định tuyến hay bảng SAP thay đổi EIGRP cịn điều khiển giao thức Apple Talk Routing Table Maintenance Protocol (RTMP) RTMP sử dụng số lượng hop để chọn đường nên khả chọn đường không tốt Do đó, EIGRP sử dụng thơng số định tuyến tổng hợp cấu hình để chọn đường tốt cho mạng Apple Talk Là giao thức định tuyến theo vectơ khoảng cách, RTMP thực trao đổi tồn thơng tin định tuyến theo chu kỳ Để giảm bớt tải này, EIGRP thực phân phối thông tin định tuyến Apple Talk có kiện thay đổi mà Tuy nhiên, Apple Talk client muốn nhận thơng tin RTMP từ router nội bộ, EIGRP dùng cho Apple Talk nên chạy mạng khơng có client, ví dụ liên kết WAN chẳng hạn 6.3 Cấu hình định tuyến EIGRP Sử dụng lệnh sau để khởi động EIGRP xác định số hệ tự quản: Router(config)#router eigrp autonomous-system-number Thông số autonomous-system-number xác định router hệ tự quản Những router hệ thống mạng phải có số giống Khai báo mạng router mà cấu hình thuộc hệ tự quản EIGRP: Router(config-router)#network network-number Thông số network-number địa mạng cổng giao tiếp router thuộc hệ thống mạng EIGRP Router thực quảng cáo thông tin mạng khai báo câu lệnh network này.Network mạng kết nối trực tiếp vào router Khi cấu hình cổng serial để sử dụng EIGRP, việc quan trọng cần đặt băng thông cho cổng Nếu không thay đổi thông cổng, EIGRP sử dụng băng thông mặc định cổng thay băng thơng thực Nếu đường kết nối thực chậm hơn, router khơng hội tụ được, thơng tin định tuyến cập nhật bị kết chọn đường không tối ưu Để đặt băng thông cho cổng serial router, dùng câu lệnh sau chế độ cấu hình cổng đó: Router(config-if)#bandwidth kilobits Giá trị băng thông khai lệnh bandwidth sử dụng tính tốn cho tiến trình định tuyến, giá trị nên khai với tốc độ cổng Cisco khuyến cáo nên thêm câu lệnh sau cấu hình EIGRP: Router(config-if)#eigrp log-neighbor-changes Câu lệnh làm cho router xuất câu thơng báo có thay đổi router láng giềng thân mật giúp theo dõi ổn định hệ thống định tuyến phát cố có Với EIGRP, việc tổng hợp đường cú thể cấu hình tay cổng router với giới hạn tổng hợp mà muốn không tự động tổng hợp theo lớp địa IP Sau khai báo địa tổng hợp cho cổng router, router phát quảng cáo cổng địa tổng hợp câu lệnh cài đặt Địa tổng hợp khai báo lệnh ip summary-address eigrp sau: Router(config-if)# ip summary-address eigrp autonomous-system-number ipaddressmask administrative-distance Đường tổng hợp EIGRP có số mặc định độ tin cậy (administrative- distance) Tuy nhiên, khai báo giá trị cho số khoảng từ đến 255 Trong đa số trường hợp, muốn cấu hình tổng hợp địa tay nên tắt chế độ tự động tổng hợp lệnh no auto-summary 6.4 Cấu hình xác thực EIGRP EIGRP hỗ trợ kiểu xác thực MD5 Router(config)# interface Vào chế độ cấu hình interface Router(config-if)# ip authenticationmode eigrp as-number md5 Cho phép thuật toán MD5 sử dụng đễ xác thực gói tin EIGRP interface Router(config-if)# ip authenticaitonkey-chain eigrp as-number athena Cho phép xác thực gói tin EIGRP athena tên key chain Router(config-if)# exit Trở chế độ cấu hình Privileged Router(config)# key chain athena Tạo key chain Tên key chain phải tương ứng với tên cấu hình mode interface Router(config-keychain)# key Xác định số key * Chú ý: Chỉ số key nằm khoảng từ đến 2147483647 Chỉ số key khơng cần phải liên tiếp Cần phải tạo key key chain Router(config-keychain-key)# keystring vancong Xác định key string * Chú ý: key string chứa từ đến 80 ký tự bao gồm ký tự thường, hoa, đặc biệt, số Router(config-keychainkey)# accept-lifetime start-time {infinite | end-time | durationseconds} Tùy chọn khoảng thời gian mà key nhận Router(config-keychain-key)# sendlifetime start-time {infinite | endtime | duration seconds} Tùy chọn khoảng thời gian mà key gửi 6.5 Chia tải EIGRP Một đặc điểm trội EIGRP giao thức cho phép cân tải đường không Điều giúp tận dụng tốt đường truyền nối đến router.Nếu đường đến đích router mà khơng có Feasibel Successor, khơng sử dụng để thực chế cần tải Giao thức định tuyến EIGPR hỗ trợ cân tải tối đa đường có cost khơng Router(config)# router eigrp as-number Cho phép router hoạt động với giao thức định tuyến EIGRP với số AS Router(config-router)# network network-address Chỉ mạng quảng bá EIGRP Router(config-router)# variance Router chọn đường có metric nhỏ n*metric thấp router đến mạng đích Trong n số câu lệnh variance 6.6 Kiểm tra hoạt động EIGRP Chúng ta sử dụng lệnh show sau để kiểm tra hoạt động EIGRP.Ngoài ra, lệnh debug lệnh giúp theo dõi hoạt động EIGRP cần thiết Show ip eigrpneighbors [type number] [details] Hiển thị bảng láng giềng EIGRP Sử dụng tham số type number để xác định cụ thể cổng cần xem Từ khố details cho phép hiển thị thơng tin chi tiết Show ip eigrpinterfaces [type number] [as- number] [details] Hiển thị thông tin EIGRP cổng Sử dụng tham số in nghiêng cho phép giới hạn phần thông tin hiển thị cho cổng AS Từ khố details cho phép hiển thị thơng tin chi tiết Show ip eigrptopology [as- number] [[ip- address] mask] Hiển thị tất feasible successor bảng cấu trúc mạng EIGRP Sử dụng tham số in nghiêng để giới hạn thông tin hiển thị theo số AS hay theo địa mạng cụ thể Show ip eigrptopology [active | pending | zero- successors] Tuỳ theo sử dụng từ khoá nào, router hiển thị thông tin đường hoạt động, chờ xử lý hay khơng có successor Show ip eigrp topology all-links - Hiển thị thông tin đường khơng cófeasible successor bảng cấu trúc EIGRP Show ip eigrp traffic [as-number] - Hiển thị số gúi EIGRP gửi nhận được.Chúng ta sử dụng tham số as-number để giới hạn thụng tin hiển thịtrong AS cụ thể Các lệnh debug: Debug eigrp fsm -Hiển thị hoạt động EIGRP feasible successor giúp xác định tiến trình định tuyến cài đặt xóa thơng tin cập nhật đường Debug eigrp packet - Hiển thị gói EIGRP gửi nhận Các gói gói hello, cập nhật, báo nhận, yêu cầu hồi đáp Số thứ tự gói số báo nhận sửdụng để gửi bảo đảm gói EIGRP hiển thị SNIFFER TRONG MẠNG CISCO VÀ CÁCH PHÒNG CHỐNG 7.1 Khái niệm Sniffer Khởi đầu Sniffer tên sản phẩm Network Associates có tên Sniffer Network Analyzer Sniffer hiểu đơn giản chương trình cố gắng nghe ngóng lưu lượng thơng tin (trong hệ thống mạng) Tương tự thiết bị cho phép nghe đường dây điện thoại Chỉ khác mơi trường chương trình Sniffer thực nghe môi trường mạng máy tính Tuy nhiên giao dịch hệ thống mạng máy tính thường liệu dạng nhị phân (Binary) Bởi để nghe hiểu liệu dạng nhị phân này, chương trình Sniffer phải có tính biết phân tích giao thức (Protocol Analysis), tính giải mã (Decode) liệu dạng nhị phân sang dạng khác để hiểu chúng Trong hệ thống mạng sử dụng giao thức kết nối chung đồng Chúng ta sử dụng Sniffer Host hệ thống mạng Chế độ gọi chế độ hỗn tạp(promiscuous mode) Đối tượng Sniffing : Password (từ Email, Web, SMB, FTP, SQL Telnet) Các thơng tin thẻ tín dụng 7.2 Văn Email Các tập tin di động mạng (tập tin Email, FTP SMB) Mục đích sử dụng Sniffer thường sử dụng vào mục đích khác biệt Nó công cụ giúp cho quản trị mạng theo dõi bảo trì hệ thống mạng Cũng theo hướng tiêu cực chương trình cài vài hệ thống mạng máy tính với mục đích đánh hơi, nghe thơng tin đoạn mạng này… Dưới số tính Sniffer sử dụng theo hướng tích cực tiêu cực : 7.3 7.4 Tự động chụp tên người sử dụng (Username) mật khơng mã hố (Clear Text Password) Tính thường Hacker sử dụng để công hệ thống Chuyển đổi liệu đường truyền để quản trị viên đọc hiểu ý nghĩa liệu Bằng cách nhìn vào lưu lượng hệ thống cho phép quản trị viên phân tích lỗi mắc phải hệ thống lưu lượng mạng Ví dụ : Tại gói tin từ máy A gửi sang máy B… Một số Sniffer tân tiến cịn có thêm tính tự động phát cảnh báo công thực vào hệ thống mạng mà hoạt động (Intrusion Detecte Service) Ghi lại thơng tin gói liệu, phiên truyền…Tương tự hộp đen máy bay, giúp quản trị viên xem lại thơng tin gói liệu, phiên truyền sau cố…Phục vụ cho cơng việc phân tích, khắc phục cố hệ thống mạng Các giao thức sử dụng Sniffing Telnet Rlogin : ghi lại thông tin Password, usernames HTTP: Các liệu gởi mà khơng mã hóa SMTP : Password liệu gởi khơng mã hóa NNTP : Password liệu gởi không mã hóa POP : Password liệu gởi khơng mã hóa FTP : Password liệu gởi khơng mã hóa IMAP : Password liệu gởi khơng mã hóa Phương thức hoạt động Sniffer Công nghệ Ethernet xây dựng nguyên lý chia sẻ Theo khái niệm tất máy tính hệ thống mạng cục chia sẻ đường truyền hệ thống mạng Hiểu cách khác tất máy tính có khả nhìn thấy lưu lượng liệu truyền đường truyền chung Như phần cứng Ethernet xây dựng với tính lọc bỏ qua tất liệu khơng thuộc đường truyền chung với Nó thực điều nguyên lý bỏ qua tất Frame có địa MAC khơng hợp lệ Khi Sniffer tắt tính lọc sử dụng chế độ hỗn tạp (promiscuous mode) Nó nhìn thấy tất lưu lượng thông tin từ máy B đến máy C, hay lưu lượng thông tin máy hệ thống mạng Miễn chúng nằm hệ thống mạng 7.4.1 Active Là Sniffing qua Switch, khó thực dễ bị phát Attacker thực loại công sau: Attacker kết nối đến Switch cách gởi địa MAC nặc danh Switch xem địa kết hợp với khung (frame) Máy tính LAN gởi liệu đến cổng kết nối 7.4.2 Passive Đây loại Sniffing lấy liệu chủ yếu qua Hub Nó gọi Sniffing thụ động khó phát loại Sniffing Attacker sử dụng máy tính kết nối đến Hub bắt đầu Sniffing 7.5 Các kiểu công 7.5.1 Man in the Middle Một công mạng thường thấy sử dụng để chống lại cá nhân tổ chức lớn cơng MITM (Man in the Middle) Có thể hiểu nơm na kiểu cơng kẻ nghe trộm MITM hoạt động cách thiết lập kết nối đến máy tính nạn nhân relay message chúng Trong trường hợp bị công, nạn nhân tin tưởng họ truyền thông cách trực tiếp với nạn nhân kia, thực luồng truyền thơng lại bị thơng qua host kẻ công Và kết host khơng thơng dịch liệu nhạy cảm mà cịn gửi xen vào thay đổi luồng liệu để kiểm sốt sâu nạn nhân Giả sử hacker muốn theo dõi hostA gởi thơng tin cho hostB Đầu tiên hacker gởi gói Arp reply đến hostA với nội dung địa MAC hacker địa IP hostB Tiếp theo hacker gởi gói Arp reply tới hostB với nội dung MAC máy hacker IP hostA Như hai hostA hostB tiếp nhận gói Arp reply lưu vào Arp table Đến lúc hostA muốn gởi thông tin cho hostB liền tra vào Arp table thấy có sẵn thông tin địa MAC hostB nên hostA lấy thơng tin sử dụng, thực chất địa MAC hacker Đồng thời máy tính hacker mở chức gọi IP Forwarding giúp chuyển tải nội dung mà hostA gởi qua hostB HostA hostB giao tiếp bình thường khơng có cảm giác bị qua máy trung gian máy hacker Trong trường hợp khác, hacker nghe thông tin từ máy đến Gateway Như hàng động internet bị hacker ghi lại hết, dẫn đến việc mát thông tin nhạy cảm 7.5.2 MAC Flooding Kiểu công làm tràn bảng CAM dựa vào điểm yếu thiết bị chuyển mạch: bảng CAM chứa số hữu hạn ánh xạ (ví dụ switch Catalysh 6000 chứa tối đa 128000 ánh xạ) ánh xạ tồn mãi bảng CAM Sau khoảng thời gian đó, thường 300 s,nếu địa không dùng việc trao đổi thông tin bị gỡ bỏ khỏi bảng Khi bảng CAM điền đầy, tất thông tin đến gửi đến tất cổng trừ cổng nhận Lúc chức switch khơng khác chức hub Cách công dùng kỹ thuật Arp poisoning mà đối tượng nhắm đến Switch Hacker gởi gói Arp reply giả tạo với số lượng khổng lồ nhằm làm Switch xử lý không kịp trở nên tải Khi Switch khơng đủ sức thể chất Layer2 mà broadcast gói tin tồn port Hacker dễ dàng bắt tồn thơng tin mạng 7.6 Phòng chống sniffer Để ngăn chặn kẻ công muốn Sniffer Password Chúng ta đồng thời sử dụng giao thức, phương pháp để mã hoá password sử dụng giải pháp chứng thực an tồn (Authentication): SMB/CIFS: Trong mơi trường Windows/SAMBA cần kích hoạt tính LANmanager Authencation Keberos: Một giải pháp chứng thực liệu an toàn sử dụng Unix Windows: Kerberos Users’ Frequently Asked Questions 1.14 Stanford SRP (Secure Remote Password):Khắc phục nhược điểm khơng mã hố Password truyền thong giao thức FTP Telnet Unix: The SRP Project OpenSSH:Khi sử dụng Telnet, FTP…2 giao thức chuẩn không cung cấp khả mã hoá liệu đường truyền Đặc biệt nguy hiểm khơng mã hố Password, chúng gửi Password qua đường truyền dạng Clear Text Điều xảy liệu nhạy cảm bị Sniffer OpenSSH giao thức đời để khắc phục nhược điểm này: ssh (sử dụng thay Telnet), sftp (sử dụng thay FTP)… VPNs (Virtual Private Network):Được sử dụng để mã hoá liệu truyền thong Internet Tuy nhiên Hacker công thoả hiệp Node của kết nối VPN đó, chúng tiến hành Sniffer Static ARP Table: Rất nhiều điều xấu xảy có thành cơng thuốc độc bảng ARP máy tính mạng làm để ngăn chặn cố gắng để đầu độc bảng ARP Một cách để ngăn chặn tác động xấu hành vi để tạo mục bảng ARP tĩnh cho tất thiết bị đoạn mạng địa phương Khi điều thực hiện, hạt nhân bỏ qua tất câu trả lời ARP cho địa IP cụ thể sử dụng mục nhập sử dụng địa MAC định thay Sử dụng câu lệnh arp –a để xem bảng ARP Câu lệnh arp –s để gán tĩnh địa MAC với địa IP tương ứng Câu lệnh arp –d để xóa bảng ARP địa MAC tự nhận động địa IP Quản lý port console Switch: Một hệ điều hành Switch Cisco có quản lý port, dây Console(line 0) mà cung cấp truy xuất trực tiếp đến Switch cho quản trị Nếu quản lý port cài đặt q lỏng lẻo Switch bị ảnh hưởng công Giải pháp cài đặt tài khoản cho nhà quản trị truy xuất dây Console Lệnh sau ví dụ việc tạo tài khoản cấp privilged cài đặt cấp privilege thành mặc định(0) cho dây Console Ỏ câp privileged cấp thấp Switch Cisco cho phép cài đặt lệnh Người quản trị làm tăng cấp privileged lên 15 câu lệnh enable Cũng vậy, tài khoản truy xuất từ dây virtual terminal Switch(config)# username athena privilege Switch(config)# line Switch(config-line)# privilege level Sử dụng dòng hướng dẫn sau để tạo password an tồn: password ký tự; khơng từ bản; thêm vào nhẩt ký tự đặc biệt hay số như:!@#$%^&*()|+_…; thay đổi password tháng lần Sử dụng: Switch(config)# username ljones secret g00d-P5WD Switch(config)# line Switch(config-line)# login local Port Security: Port Security giới hạn số lượng dịa MAC hợp lệ cho phép Port Tất port Switch interface nên đảm bảo trước triển khai.Theo cách này, đặt tính cài đặt gỡ bỏ yêu cầu để thêm vào làm dài thêm đặt tính cách ngẫu nhiên kết bảo mật vốn dã có sẵn.Nên nhớ Port Security khơng sử dụng cho Port access động port đích cho người phân tích Switch Port Và Port security để bật tính Port Switch nhiều có thể.Ví dụ sau cho thấy dịng lệnh shutdonw interface mảng interface: Single interface: Switch(config)# interface Switch(config-if)# shutdown Range of interfaces: Switch(config)# interface range fastethernet 0/2 – Switch(config-if-range)# shutdown Port Security có khả làm thay đổi phụ thuộc chế độ Switch phiên IOS Mỗi Port hoạt động bị hạn chế số lượng tối đa địa MAC với hành dộng lựa chọn cho vi phạm Những vi phạm làm drop gói tin ( violation protect ) drop gửi thông điệp (restrict or action trap) shutdown port hoàn toàn( violation shutdown or action shutdown) Shutdown trạng thái mặc định , đảm bảo hầu hết protect restrict hai yêu cầu theo dõi địa MAC mà quan sát phá huỷ tài nguyên xử lí shutdown Địa MAC thu thập cách tự động với vài Switch hỗ trợ Entry tĩnh Sticky Entry Entry tĩnh cấu hình tay để thêm vào port (e.g., switchport portsecurity mac- address mac- address) luư lại file cấu hình Sticky Entry xem Entry tĩnh, ngoại học cách tự động Những Entry động tồn chuyển sang Sticky Entry sau sử dụng câu lệnh (switchport port-security mac- address Stickey) Những Entry động cũ lưu lại file cấu hình (switchport portsecurity mac- address Stickey mac- address) file cấu hình lưu chạy địa MAC khơng cần học lại lần cho việc restart lần sau Và số lượng tối đa địa MAC cài đặt câu lệnh sau(e.g.,switchport port-security maximun value) Người quản trị bật tính cấu hình địa MAC tĩnh port cách sử dụng câu lệnh switchport port-security aging static Lệnh aging time (e.g., switchport portsecurity aging time time) đặt dạng phút Đồng thời dịng lệnh aging đặt cho khơng hoạt động (e.g., switchport port-security aging type inactivity), điều có nghĩa độ tuổi địa cấu hình port ngồi khơng có liệu lưu thơng từ địa cho khai báo phần dịng lệnh aging time Đặt tính cho phép tiếp tục truy cập đến sô lượng dịa giới hạn Ví dụ: + Những dịng lệnh sau dùng để giới hạn tĩnh cổng CatalystSwitch 3550 Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security violation shutdown Switch(config-if)# switchport port-security maximum Switch(config-if)# switchport port-security mac-address0011.2233.4455 Switch(config-if)# switchport port-security aging time 10 Switch(config-if)# switchport port-security aging type inactivity + Những dòng lệnh sau để giới hạn động cổng Catalyst Switch 3550 Chú ý dịng lệnh aging khơng sử dụng với địa sticky MAC Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security violation shutdown Switch(config-if)# switchport port-security maximum Switch(config-if)# switchport port-security mac-address sticky Chú ý có vi phạm port security xảy trở thành trạng thái error-disable đèn LED tắt Switch gửi thông điệp SNMP trap, logs (syslog) làm tăng lên phản đối xâm nhập Khi port o trạng thái error-disable, người quản trị đưa khỏi trạng thái cách sử dụng dịng lệnh chế độ tồn cục errdisable recovery cause psecure-violation dòng lệnh shutdown no shutdown cổng cấu hình Có số vấn đề quan trọng phát sinh cấu hình port security port kết nối đến IP phone Mặt dù port security không sử dụng Trunk port, địa MAC phản đối việc xem xét viec gán VLAN gói tin đến Cùng IP phone gửi gói tin Vlan có bảng entries chia bảng MAC đếm lần lên đến maximum MAC Khi IP Phone sử dụng gói tin khơng gán vào (untagged, e.g., Layer CDP protocol ) gói tin Voice Vlan có gắn(tagged); địa MAC IP Phone thấy native VLAN Voice VLAN Vì đếm lần Việc đặt tối đa địa MAC cho port kết nối đến IP Phone cho trường hợp nhiều máy tính cơng vào IP Phone Nhửng máy tình truyền hợp lệ sử dụng nhiều địa MAC phải đựơc cấu hình để tính toán Một khả để bảo đảm cho port Switch nhanh thích hộp macros Macros cho phép nhóm port sẵn sàng lệnh chấp nhận cấu hình tay Bất kì dịng lệnh thêm vào bẳng việc sử dụng kí tự “#” đấu dịng lệnh kết thúc kí tự”@” Ví dụ sau tạo ngăn cản security macro gọi unused để bảo đảm port interface Switch 3550 Switch(config)# macro name unused Sau tạo găn cấm security macro, unused, áp đặt macro tất port Switch bảo đảm ranh giới với dòng lệnh sau Switch(config)# interface range fasteth0/1 – 24 , giga0/1 – Switch(config-if-range)# macro apply unused Sau macros xây dựng tính bảo đảm dựa unused macro thiết lập để bật tính bảo mật đủ dể hỗ trợ tất hệ thống theo mong đợi Switch(config)# macro name host Việc chấp nhận macros làm thay đổi đến tính bảo đảm biên yêu cấu cho port hỗ trợ hồn tồn hệ thống thích hợp Người quản trị sử dụng câu lệnh macro trace để thay cho câu lệnh macro apply câu lệnh macro trace xác định debugging cùa macros Thường xuyên sử dụng show parser macro description để biết macro cuối áp lên port Cuối địa MAC tĩnh port security áp port Switch trở thành gánh nặng cho người quản trị Port Access Control List (PACLs) cung cấp khả bảo mật tương tự địa MAC tĩnh port security PACLs cung cấp nhiều tính linh động điều khiển.Việc cho phép địa MAC địa IP chia xem xét từ phía Switch mở rộng Một số công cụ giúp sniffer phát gói Sniffer: Cain & Able : Một cơng cụ sniffer tồn diện với nhiều cách thức scan bắt gói tin, giải mã liệu AntiSniff: cơng cụ phát gói Sniffer tồn diện hiệu CPM (Check Promiscuous Mode): Công cụ phát triển Carnegie-Mellon nhằm giúp kiểm tra Sniffer hệ thống UNIX ... cấu hình tồn cục sau chế độ cấu hình riêng biệt như: Chế độ cấu hình cổng giao tiếp Chế độ cấu hình cổng giao tiếp Chế độ cấu hình đường truy cập Chế độ cấu hình router Chế độ cấu hình. .. chế độ cấu hình router cơng việc cấu hình phức tạp sau trở nên đơn giản nhiều Trong phần giới thiệu chế độ cấu hình router số lệnh cấu hình đơn giản Kỹ đọc hiểu cách rõ ràng tập tin cấu hình ký... 26 3.4 Cấu hình cổng serial 28 3.5 Thực việc thêm bớt, dịch chuyển thay đổi tập tin cấu hình 29 3.6 Cấu hình cổng Ethernet 30 3.7 Hồn chỉnh cấu hình router