Laboratorium Sieci Komputerowych.

Laboratorium nr. 4

Podstawowa konfiguracja przełącznika

Celem ćwiczenia jest zapoznanie studentów konfiguracją sieciowego systemu operacyjnego na
przykładzie przełącznika. Student dokona fizycznego okablowania laboratoryjnej infrastruktury
sieciowej oraz konfiguracji podstawowej przełącznika, zdalnego dostępu, a także metod
zabezpieczeń portów.

1. Wprowadzenie do konfiguracji przełącznika

Sieciowy system operacyjny

Wszystkie urządzenia końcowe i urządzenia sieciowe podłączone do Internetu wymagają systemu
operacyjnego (OS), aby móc realizować swoje funkcje. Za pomocą interfejsu wiersz poleceń CLI
użytkownik komunikuje się bezpośrednio z systemem w środowisku tekstowym. System wykonuje
polecenia zwykle generując komunikat tekstowy na wyjściu. Sieciowy system operacyjny używany w
urządzeniach nazywany jest Internetwork Operating System (IOS). Plik IOS ma rozmiar kilkunastu
megabajtów i jest przechowywany w nieulotnej pamięci Flash. Dodatkowo, pamięć flash może być
użyta do przechowywania wielu wersji oprogramowania IOS w tym samym czasie. W wielu
urządzeniach, IOS jest kopiowany z pamięci flash do pamięci o dostępie swobodnym (RAM) podczas
uruchamiania urządzenia. Następnie IOS uruchamiany jest z pamięci RAM, co zwiększa wydajność
urządzenia. Do głównych funkcji realizowanych przez routery i przełączniki należą:
• Zapewnienie bezpieczeństwa sieci
• Adresowanie IP interfejsów wirtualnych i fizycznych
• Dostosowanie konfiguracji do typu i funkcji interfejsu w celu optymalizacji połączenia
z odpowiednimi mediami
• Trasowanie (routing)
• Wykorzystywanie technologii zapewnienia jakość usług (QoS)
• Wsparcie dla technologii zarządzania siecią
Metody dostępu do IOS
Istnieje kilka sposobów dostępu do środowiska CLI. Najczęściej wykorzystywanymi metodami są porty
konsolowe oraz połączenie Telnet lub SSH.
Port konsoli jest portem zarządzania, który zapewnia ciągły dostęp do urządzenia za
pośrednictwem dedykowanego kanału zarządzania. Zaletą korzystania z portu konsoli jest to, że
urządzenie jest dostępne dla administratora nawet w przypadku, gdy usługi sieciowe nie zostały
jeszcze skonfigurowane. Dostęp ten wykorzystywany jest na przykład podczas wykonywania
początkowej konfiguracji urządzenia sieciowego. Podczas przeprowadzania wstępnej konfiguracji,
komputer, na którym działa oprogramowanie do emulacji terminala podłączony jest do portu konsoli
urządzenia za pomocą odpowiedniego kabla konsolowego (ang. rollover). Kabel konsolowy jest to
specjalny kabel zakończony z jednej strony końcówką RJ-45 a z drugiej RS232 (złącze DB-9) czyli
popularnie zwanym portem COM.
 Laboratorium Sieci Komputerowych.

Rys. 1. Budowa kabla konsolowego

Telnet jest metodą ustanawiania zdalnej sesji CLI urządzenia poprzez sieć przy wykorzystaniu
wirtualnego interfejsu. W przeciwieństwie do połączenia konsolowego sesja telnet wymaga aktywnie
działających usług sieciowych na urządzeniu. Urządzenie sieciowe musi mieć co najmniej jeden
aktywny interfejs skonfigurowany z adresem internetowym, takim jak np. adres IPv4. Urządzenia IOS
posiadają usługę serwera i klienta telnet, która umożliwia użytkownikom konfigurowanie urządzeń
poprzez klienckie oprogramowanie telnet. Protokół SSH (Secure Shell) zapewnia zdalne logowanie
podobnie jak telnet, z tą różnicą, że używa bardziej bezpiecznych usług sieciowych. SSH zapewnia
silniejsze niż telnet uwierzytelnianie haseł oraz używa szyfrowania podczas przesyłania danych.
Rozwiązanie to zapewnia bezpieczeństwo dotyczące identyfikatora użytkownika, hasła oraz
szczegółów sesji. W związku z powyższym najlepszym rozwiązaniem jest (tam gdzie jest to tylko
możliwe) korzystanie z protokołu SSH zamiast telnet.
Zestawienie połączeń fizycznych
Do konfiguracji urządzeń sieciowych wykorzystuje się specjalny przewód do transmisji szeregowej
określany mianem konsoli (typu null-modem, znany także jako: rollover cable). Jest on zwykle płaski
(i ma kolor jasnoniebieski), aby łatwo odróżnić go od innych typów okablowania sieciowego (Rys. 2).
Okablowanie tego typu w starszych rozwiązaniach stosuje złącza DB-9 oraz RJ-45. Nowoczesne
urządzenia sieciowe stosują okablowanie konsolowe używające złączy USB i mikro-USB.

Rys. 2. Przykładowy panel z gniazdami stanowiska w laboratorium.

Dla przedłużenia żywotności gniazd połączeniowych przełącznika, konsole przełączników

dostępnych w pracowni zostały wyprowadzone na panelach podłączeniowych (Rys. 3).
Wyprowadzone na panelu gniazda konsol w postaci złączy RJ-45 umożliwiają zestawianie połączeń
ze stanowisk komputerowych z wykorzystaniem infrastruktury sieciowej pracowni (złącza płaskie).
 Laboratorium Sieci Komputerowych.

Rys. 3. Wyprowadzenia do konsol na panel podłączeniowych.

Wyprowadzone na panelu gniazda konsol w postaci złączy RJ-45 umożliwiają zestawianie połączeń
ze stanowisk komputerowych z wykorzystaniem infrastruktury sieciowej pracowni (złącza płaskie).
Zestawienie połączeń logicznych (za pomocą oprogramowania do obsługi RS-232).
Posiadając poprawnie zrealizowane połączenie fizyczne na komputerze należy uruchomić program
do obsługi połączenia RS232. Zazwyczaj wykorzystuje się do tego celu programu Putty dostępnego
dla większości popularnych systemów operacyjnych (ustawienia: COM1 - Windows lub ttyS0 - linux,
9600, 8N1, bez sprzętowej kontroli przepływu). Alternatywne oprogramowanie: TerraTerm (Windows),
Minicom (Linux)

Przekazywanie ramek przez przełącznik

Koncepcja przełączania i przekazywania ramek jest uniwersalna tak dla sieci informatycznej, jak
i telekomunikacyjnej. Podstawowa koncepcja przełączania odnosi się do urządzenia, które podejmuje
decyzje w oparciu o dwa kryteria:
• port wejściowy;
• adres docelowy.
Decyzja o tym, w jaki sposób przełącznik przekazuje ruch, jest dokonywana w zależności od
przepływu tego ruchu. Określenie "wejściowy" jest używane w odniesieniu do portu, przez który ramki
wchodzą do przełącznika. Termin "wyjściowy" jest używany do określenia, którym portem ramki
opuszczają przełącznik. Przełącznik podejmuje decyzje bazując na porcie wejściowym oraz adresie
docelowym zawartym w przychodzącej wiadomości. Przełącznik LAN utrzymuje tablicę, której używa
do określenia, jak powinien zostać przesłany ruch przez urządzenie. Przełączniki LAN mają zdolność
używania swojej tablicy w celu przesłania wiadomości na odpowiedni port, bazując na porcie
wejściowym i adresie docelowym zawartym w wiadomości. Przełącznik posiada tylko jedną tablicę
przełączania, która opisuje połączenia pomiędzy adresem i portem. Dlatego też wiadomość
zawierająca określony adres docelowy zawsze zostanie skierowana na ten sam port wyjściowy, bez
względu na to, który port został użyty jako wejściowy. Przełączniki LAN przekazują ramki Ethernet
bazując na adresach MAC zawartych w tych ramkach. Przełączniki używają adresów MAC w celu
przekierowania komunikacji na odpowiedni port, zgodnie z adresem docelowym. Aby przełącznik
wiedział, którego portu użyć dla konkretnej ramki, musi w pierwszej kolejności nauczyć się, jakie
urządzenia ma podłączone do każdego portu. Jak tylko przełącznik nauczy się powiązania portu do
urządzenia, buduje tablicę zwaną tablicą adresów MAC lub pamięcią CAM (ang. Content Addressable
Memory). Przełączniki LAN określają, w jaki sposób postąpić z przychodzącymi ramkami, utrzymując
tablicę adresów MAC. Przełącznik buduje swoją tablicę adresów, zapamiętując adresy MAC
 Laboratorium Sieci Komputerowych.

wszystkich urządzeń, które są podłączone do jego portów. Używa on informacji z tablicy adresów
MAC do wysłania ramek skierowanych do konkretnego urządzenia poprzez port, który został
przypisany do tego urządzenia. Przełącznik zapełnia tablicę adresów MAC bazując również na
adresach źródłowych MAC. Kiedy przełącznik otrzymuje ramkę przychodzącą zawierającą adres
MAC, który nie istnieje w tablicy adresów MAC, przesyła on tę ramkę na wszystkie porty (tzw.
zalewanie portów) z wyjątkiem portu wejściowego. Kiedy urządzenie docelowe odpowie, przełącznik
dodaje do tablicy adres źródłowy z ramki i numer portu, do którego nadeszła ta ramka. W sieciach z
wieloma połączonymi ze sobą przełącznikami, tablica adresów MAC może zawierać wiele adresów
MAC przypisanych do pojedynczego portu.
Domena kolizyjna i rozgłoszeniowa
Domena kolizyjna to segment sieci, w którym urządzenia muszą konkurować ze sobą
o możliwość komunikacji, ponieważ jeżeli w takim segmencie dwa lub więcej urządzeń chce nadawać
w tym samym czasie, mogą wystąpić kolizje. Możliwe jest jednak użycie innych urządzeń sieciowych
(np. przełączników lub routerów) działających zgodnie z modelem TCP/IP, które umożliwiają podział
sieci na segmenty i zmniejszenie liczby urządzeń rywalizujących o pasmo. Każdy nowy segment
wprowadza nową domenę kolizyjną. Każdy port przełącznika jest podłączony do pojedynczego
komputera i każdy port przełącznika reprezentuje osobną domenę kolizyjną.
Domena rozgłoszeniowa to obszar sieci, w którym można odebrać ramkę rozgłoszeniową.
Przełączniki przekazują ramki rozgłoszeniowe do wszystkich portów, dlatego przełączniki nie dzielą
domen rozgłoszeniowych. Wszystkie porty przełącznika w swojej podstawowej konfiguracji należą do
jednej domeny rozgłoszeniowej. Jeśli dwa lub więcej przełączniki są połączone, rozgłoszenia
przesyłane są do wszystkich portów na wszystkich przełącznikach, z wyjątkiem portu, na którym został
on odebrany.
Tryby pracy IOS
Tryby systemu IOS na routerach i przełącznikach są do siebie bardzo podobne. Interpreter poleceń
(CLI) korzysta z hierarchicznej struktury tych trybów. Zgodnie z zastosowaną hierarchią wymieniając
od najbardziej podstawowych do najbardziej wyspecjalizowanych mamy następujące tryby:
• Tryb użytkownika (User EXEC)
• Tryb uprzywilejowany (Privileged EXEC)
• Tryb konfiguracji globalnej
• Pozostałe szczegółowe tryby konfiguracji, takie jak tryb konfiguracji interfejsu.
Dla odróżnienia od siebie poszczególnych trybów, każdy z nich posiada charakterystyczny znak
zachęty. Każdy z trybów przeznaczony jest do realizacji konkretnych zadań, których wykonanie
możliwe jest dzięki dostępnemu zestawowi komend. Na przykład tryb konfiguracji globalnej pozwala
konfigurować ustawienia, które dotyczą urządzenia jako całości. W trybie tym konfigurowana jest
między innymi nazwa urządzenia. Jednakże w przypadku gdy należy skonfigurować na przykład
ustawienia bezpieczeństwa na konkretnym porcie przełącznika trzeba przejść do innego trybu. W tym
przypadku będzie to tryb konfigurowania interfejsu dla konkretnego portu. Wszystkie ustawienia
dokonane w tym trybie konfiguracji będą dotyczyły tylko wybranego portu.
Hierarchiczna struktura trybów pozwala na zwiększenie bezpieczeństwa dotyczącego dokonywania
zmian w konfiguracji urządzenia. Oznacza to, że przy przechodzeniu do innego poziomu w
hierarchicznej strukturze trybów konfiguracji może być wymagana dodatkowa autoryzacja
użytkownika. Dzięki takiemu rozwiązaniu możliwe jest przyznawanie różnego poziom dostępu dla
poszczególnych użytkowników. Rysunek przedstawia strukturę trybów konfiguracyjnych IOS z ich
typowymi znakami zachęty i własnościami.
Dwoma podstawowymi trybami pracy są: tryb EXEC użytkownika oraz uprzywilejowany tryb EXEC.
Jako element bezpieczeństwa, oprogramowanie IOS dzieli sesję EXEC na dwa poziomy dostępu. Jak
pokazano na rysunku tryb uprzywilejowany ma wyższy poziom uprawnień, który daje użytkownikowi
szersze możliwości oddziaływania na urządzenie.
 Laboratorium Sieci Komputerowych.

Rys. 4. Tryby pracy IOS

Tryb EXEC użytkownika
Tryb EXEC użytkownika ma ograniczone możliwości, ale jest przydatny przy realizacji
podstawowych operacji. Tryb EXEC użytkownika udostępnia jedynie ograniczony zestaw
podstawowych poleceń do monitorowania. Często jest on opisywany jako tryb przeglądania. Poziom
trybu EXEC nie pozwala wykonywać komend, które mogłyby zmienić konfigurację urządzenia.
Domyślnie nie jest wymagane uwierzytelnienie dostępu z konsoli do trybu EXEC użytkownika. Jednak
dobrą praktyką jest włączenie tego uwierzytelnienia podczas początkowej konfiguracji urządzenia.
Tryb EXEC identyfikowany jest za pomocą symbolu > na końcu znaku zachęty. Poniżej przedstawiono
przykładowy znak zachęty w tym trybie.
Switch>
Tryb uprzywilejowany EXEC
Wykonywanie komend konfiguracyjnych i zarządzania wymaga od administratora używania
uprzywilejowanego trybu EXEC lub bardziej specyficznego trybu dostępnego w hierarchii. Oznacza to,
że użytkownik musi najpierw przejść do trybu EXEC użytkownika, a stamtąd przejść do
uprzywilejowanego trybu EXEC. Tryb uprzywilejowany EXEC może być rozpoznany za pomocą
symbolu # znajdującego się na końcu znaku zachęty.
Switch#
Domyślnie tryb uprzywilejowany EXEC nie wymaga uwierzytelniania. Niemniej jednak dobrą praktyką
jest konfigurowanie takiego uwierzytelnienia w celu zwiększenia bezpieczeństwa. Tryb konfiguracji
globalnej oraz wszystkie inne szczegółowe tryby konfiguracji są dostępne tylko z poziomu trybu
uprzywilejowanego.
 Laboratorium Sieci Komputerowych.

Tryb konfiguracji globalnej

Podstawowy tryb konfiguracji nazywany jest konfiguracją globalną lub global config. W trybie
konfiguracji globalnej zmiany konfiguracji dokonywane przy pomocy CLI dotyczą urządzenia jako
całości. Dostęp do szczegółowych trybów konfiguracji możliwy jest wyłącznie z trybu konfiguracji
globalnej. Poniższa komenda stosowana jest do przejścia z trybu uprzywilejowanego do trybu
konfiguracji globalnej i pozwala na wprowadzanie komend konfiguracyjnych z terminala:
Switch# configure terminal
Po wykonaniu komendy zmieni się znak zachęty, co wskazuje, że przełącznik znajduje się w trybie
konfiguracji globalnej.
Switch(config)#
Szczegółowe tryby konfiguracji
Z trybu konfiguracji globalnej użytkownik może przejść do różnych trybów podrzędnych (konfiguracji
szczegółowych). Każdy z tych trybów pozwala na konfigurowanie poszczególnych części lub funkcji
urządzenia. Poniższa lista przedstawia kilka z nich:
• tryb interfejsu - do konfiguracji jednego z interfejsów sieciowych (Fa0/0, S0/0/0)
• tryb linii dostępu – do konfiguracji jednej z fizycznych lub wirtualnych linii dostępowych (konsola,
AUX, VTY)
W celu opuszczenia szczegółowego trybu konfiguracji i powrotu do trybu konfiguracji globalnej trzeba
po znaku zachęty wprowadzić komendę exit. Aby całkowicie opuścić tryb konfiguracyjny i powrócić do
trybu uprzywilejowanego należy wprowadzić komendę end albo użyć kombinacji klawiszy Ctrl-Z.
Znaki zachęty
Podczas wykorzystywania CLI, tryb w którym obecnie znajduje się użytkownik identyfikowany jest
poprzez wyświetlany znak zachęty linii komend (ang. command-line prompt), który jest unikalny dla
każdego trybu. Domyślnie, każdy znak zachęty rozpoczyna się nazwą urządzenia. Za nazwą
urządzenia wyświetlany jest znak zachęty wskazujący aktualny tryb pracy. Przykładowo, domyślny
znak zachęty w trybie konfiguracji globalnej na przełączniku będzie miał postać:
Switch(config)#
Podstawowa struktura poleceń IOS
Urządzenia z systemem Cisco IOS obsługują wiele komend. Każda komenda systemu IOS ma
specyficzny format i składnię oraz może być wykonywana wyłącznie we właściwym trybie
konfiguracyjnym. Ogólna składnia polecenia rozpoczyna się nazwą komendy, po której następują
właściwe słowa kluczowe oraz argumenty. Niektóre komendy zawierają podzbiór słów kluczowych
i argumentów, które umożliwiają wykorzystanie dodatkowej funkcjonalności. Komendy używane są do
wykonywania akcji, a słowa kluczowe są stosowane do identyfikacji, gdzie lub jak wykonać komendę.
Jak pokazano na rysunku 5, nazwa komendy jest początkowym słowem (lub słowami)
wprowadzanym w wierszu poleceń po wyświetlonym znaku zachęty. System IOS we wprowadzanych
komendach nie rozróżnia wielkości liter. Po komendzie może występować jedno lub więcej słów
kluczowych oraz argumenty. Po wprowadzeniu pełnej treści każdej komendy, łącznie ze słowami
kluczowymi oraz argumentami, należy wcisnąć klawisz Enter w celu przesłania komendy to
interpretera poleceń.

Rys. 5. Składnia przykładowego polecenia w IOS

 Laboratorium Sieci Komputerowych.

Słowa kluczowe opisują specyficzne parametry dla interpretera komend. Na przykład

komenda show jest używana do wyświetlenia informacji o urządzeniu. Komenda ta może zostać
wywołana z różnymi słowami kluczowymi, które muszą być użyte w celu określenia, co powinno
zostać wyświetlone na wyjściu. Na przykład:
Switch# show running-config
Komenda show jest uzupełniona słowem kluczowym running-config. To słowo kluczowe wskazuje, że
na wyjściu powinna zostać wyświetlona konfiguracja bieżąca urządzenia.
Weryfikacja składni komend
Po zatwierdzeniu komendy klawiszem Enter, w celu określenia żądanej akcji interpreter weryfikuje
polecenie od lewej strony do prawej. IOS reaguje komunikatem tylko wtedy, gdy pojawiają się błędy.
Jeśli interpreter zrozumie komendę, żądana akcja zostaje wykonana, a wiersz poleceń wyświetli
odpowiedni znak zachęty. Jednakże, jeśli interpreter nie rozumie wprowadzonego polecenia, to
wyświetli informację zwrotną z opisem, jaki element polecenia nie został poprawnie rozpoznany.
Poniższy rysunek przedstawia trzy różne typy komunikatów o błędach:
• Niejednoznaczne polecenie (Ambiguous command)
• Niekompletne polecenie (Incomplete command)
• Niepoprawne polecenie (Incorrect command)

Rys. 6. Komunikaty o błędnie wprowadzonym poleceniu

Zabezpieczenia portu
Przed wdrożeniem przełącznika do sieci w której ma pracować trzeba zabezpieczyć wszystkie
jego porty (interfejsy). Jednym ze sposobów jest wykorzystanie funkcji o nazwie zabezpieczenia portu.
Zabezpieczenia portu ograniczają liczbę poprawnych adresów MAC obsługiwanych przez port. Tylko
autoryzowane adresy MAC mają dostęp do sieci, podczas gdy inne adresy MAC są odrzucane.
Zabezpieczenia portów mogą być skonfigurowane tak, by zezwalały na dostęp jednemu lub więcej
adresów MAC. Jeżeli liczba adresów MAC dopuszczonych na porcie jest ograniczona do jednego, to
tylko urządzenie z tym adresem MAC można podłączyć portu. Jeżeli port jest skonfigurowany z
zabezpieczeniem i osiągnięta jest maksymalna liczby adresów MAC, wszelkie dodatkowe próby
połączenia przez nieznane adresy MAC generują naruszenie zabezpieczeń.
Istnieje kilka sposobów skonfigurowania zabezpieczeń portów. Bezpieczny adres jest oparty na
konfiguracji i obejmuje:
• Bezpieczne statyczne adresy MAC - adresy MAC, które są ręcznie skonfigurowane na porcie za
pomocą polecenia switchport port-security mac-address adres-mac w trybie konfiguracji interfejsu.
Skonfigurowane w ten sposób adresy MAC są przechowywane w tablicy adresów i dodawane do
bieżącej konfiguracji przełącznika.
• Bezpieczne dynamiczne adresy MAC - adresy MAC rozpoznawane są dynamicznie i następnie
przechowywane w tablicy adresów. Skonfigurowane w ten sposób adresy MAC są usuwane przy
restartowaniu przełącznika.
• Bezpieczne przyklejone adresy MAC - adresy MAC, które mogą być dynamicznie rozpoznane lub
ręcznie skonfigurowane, następnie zapisane w tablicy adresów i dodane do bieżącej konfiguracji.
Bezpieczne przyklejone adresy MAC
Aby skonfigurować interfejs do konwersji dynamicznie rozpoznanych adresów MAC na bezpiecznie
przyklejone adresy MAC i dodać je do bieżącej konfiguracji, należy włączyć przyklejone
rozpoznawanie. Przyklejone rozpoznawanie jest włączane na interfejsie za pomocą polecenia trybu
konfiguracji interfejsu switchport port-security mac-address sticky.
 Laboratorium Sieci Komputerowych.

Gdy zostanie wprowadzone to polecenie, przełącznik konwertuje wszystkie dynamicznie

rozpoznane adresy MAC, w tym te, które były dynamicznie rozpoznane przed włączeniem
przyklejonego rozpoznawania, do bezpiecznych przyklejonych adresów MAC. Wszystkie bezpiecznie
przyklejone adresy MAC dodawane są do tablicy adresów oraz do bieżącej konfiguracji.
Bezpieczne przyklejone adresy MAC mogą być także zdefiniowane ręcznie. Gdy bezpieczne
przyklejone adresy MAC są skonfigurowane za pomocą polecenia trybu konfiguracji interfejsu
switchport port-security mac-address sticky mac-address, wszystkie określone adresy są dodawane
do tablicy adresów i bieżącej konfiguracji.
Jeśli bezpieczne przyklejone adresy MAC zostaną zapisane w pliku konfiguracyjnym, to przy
ponownym uruchomieniu przełącznika lub przy zamknięciu i otwarciu interfejsu interfejs nie musi
ponownie ich rozpoznawać. Nie zapisane adresy zostaną utracone.
Jeśli przyklejone rozpoznawanie jest wyłączone przy użyciu polecenia trybu konfiguracji interfejsu
no switchport port-security mac-address sticky, bezpieczne przyklejone adresy MAC pozostają
częścią tablicy adresów, ale są usunięte z bieżącej konfiguracji.
Tryby naruszania zasad bezpieczeństwa
Jeśli wystąpi którakolwiek z następujących sytuacji, mamy do czynienia z naruszeniem zasad
bezpieczeństwa:
• Do tablicy adresów została dodana maksymalna liczba bezpiecznych adresów MAC, a stacja,
której adresu MAC nie ma w tablicy adresów, próbuje uzyskać dostęp do interfejsu.
• Rozpoznany lub skonfigurowany adres na zabezpieczonym interfejsie pojawi się na innym
zabezpieczonym interfejsie w tej samej sieci VLAN.
Interfejs może być skonfigurowany dla jednego z trzech trybów naruszeń bezpieczeństwa, określając
jakie działania należy podjąć, jeśli dojdzie do naruszenia zasad bezpieczeństwa. Możliwe reakcje na
naruszenie bezpieczeństwa to: ochrona (ang. Protect), ograniczenie (ang. Restrict) oraz wyłączenie
(ang. Shutdown):
Protect - gdy liczba bezpiecznych adresów MAC osiąga dozwolony limit na porcie, pakiety z
nieznanych adresów źródłowych są odrzucane, aż wystarczająca ilość bezpiecznych adresów MAC
zostanie usunięta lub maksymalna liczba dopuszczalnych adresów zostanie zwiększona. Nie jesteśmy
powiadamiani, że wystąpiło naruszenie zasad bezpieczeństwa.
Restrict - gdy liczba bezpiecznych adresów MAC osiąga dozwolony limit na porcie, pakiety z
nieznanych adresów źródłowych są odrzucane, aż wystarczająca ilość bezpiecznych adresów MAC
zostanie usunięta lub maksymalna liczba dopuszczalnych adresów zostanie zwiększona. W tym trybie
jesteśmy powiadamiani, że wystąpiło naruszenie zasad bezpieczeństwa.
Shutdown - w tym (domyślnym) trybie naruszenia, naruszenie zasad bezpieczeństwa portu
powoduje, że interfejs zostaje natychmiast wyłączony i wprowadzony w tryb error-disabled i gaśnie
dioda LED portu. Zwiększa to licznik naruszeń. Gdy port jest w stanie error-disabled, może być
wyłączony poprzez wprowadzenie poleceń trybu konfiguracji interfejsu shutdown i no shutdown.
Aby zmienić tryb naruszeń zabezpieczeń na porcie przełącznika, należy użyć polecenia trybu
konfiguracji interfejsu switchport port-security violation {protect | restrict |shutdown}.
Tabela 1 przedstawia, jakie rodzaje danych są przekazywane, gdy jeden z następujących trybów
naruszeń bezpieczeństwa jest skonfigurowany na porcie.

Tabela 1. Tryby naruszania zasad bezpieczeństwa

Tryb Przekazywanie Wysyłanie Wyświetlanie Zwiększanie Wyłączenie
naruszenia ruchu komunikatów informacji o licznika portu
syslog błędzie naruszeń
bezpieczeństwa
Protect Nie Nie Nie Nie Nie
Restrict Nie Tak Nie Tak Nie
Shutdown Nie Nie Nie Tak Tak
 Laboratorium Sieci Komputerowych.

2. Konfiguracja przełącznika

Zadanie 1 - Ustanowienie sesji konsolowej z Tera Term / Putty

W tym zadaniu, należy uzyskać dostęp do urządzenia Cisco za pośrednictwem bezpośredniego

połączenia lokalnego przez port konsoli przy użyciu emulatora terminala, Tera Term. Skonfigurować
ustawienia portu szeregowego w celu podłączenia konsoli Tera Term. Wyświetlić ustawienia
urządzenia i skonfigurować ustawienia zegara na przełączniku.
1.1. Dostęp do przełącznika Cisco przez szeregowy port konsoli
W celu uzyskania dostępu do interfejsu wiersza poleceń (CLI), należy podłączyć komputer PC do
konsoli przełącznika za pomocą kabla konsolowego typu rollover. Połączenie to pozwala na
wyświetlenie ustawień oraz skonfigurowanie przełącznika.
a. Podłączyć kabel konsoli typu rollover do portu konsoli RJ-45 przełącznika.
b. Podłączyć drugi koniec kabla do portu szeregowego COM komputera.
c. Włączyć przełącznik Cisco i komputer, jeśli urządzenia nie są jeszcze włączone.

1.2. Konfiguracja Tera Term do ustanowienia połączenia pomiędzy konsolą a przełącznikiem.

Tera Term jest darmowym programem emulacji terminala dla systemu Windows. Program ten pozwala
na zdalny dostęp do konsoli CLI przełącznika. Dostęp ten umożliwia wyświetlanie ustawień oraz
konfigurowanie urządzenia.
 Laboratorium Sieci Komputerowych.

a. Uruchomić program Tera Term skrótem z pulpitu lub menu start. Jeżeli program Tera Term nie jest
zainstalowany na PC, można ściągnąć go z linku Tera Term:
http://logmett.com/index.php?/download/free-downloads.html
d. W oknie dialogowym New Connection wybrac opcję Serial. Wybrać właściwy port COM

e. Aby zweryfikować ustawienia, z menu Tera Term należy wybrać Setup a następnie Serial port….
Domyślne ustawienia portu konsoli to: 9600 b/s, 8 bitów danych, brak bitu kontroli parzystości, 1 bit
stopu i brak kontroli przepływu. Ustawienia domyślne programu Tera Term są zgodne z
ustawieniami portu do komunikacji z konsolą przełącznika Cisco IOS.
 Laboratorium Sieci Komputerowych.

f. Kiedy na ekranie pojawią się informacje terminala przełącznik jest gotowy do konfiguracji. Poniższy
przykład przedstawia widok terminala podczas uruchamiania przełącznika.

1.3. Wyświetlanie i konfigurowanie podstawowych ustawień urządzenia

W tej sekcji poznasz tryb użytkownika standardowego i uprzywilejowanego systemu IOS. Na
przełączniku określisz wersję sieciowego systemu operacyjnego IOS, wyświetlisz ustawienia jego
zegara, a następnie jej zmodyfikujesz.
 Laboratorium Sieci Komputerowych.

1.4. Wyświetlanie wersji obrazu systemu IOS przełącznika.

a. Po zakończonym procesie uruchamiania, zostanie wyświetlony następujący komunikat.

Uwaga: Jeśli nie zobaczysz tego komunikatu skorzystaj z dodatku A na końcu tej instrukcji lub
skontaktuj się z prowadzącym w celu usunięcia konfiguracji przełącznika.
g. Będąc zalogowany na przełączniku w trybie użytkownika EXEC, wyświetl jego wersję IOS oraz
pdstawowe informacje o urządzeniu.
HP ProCurve Switch 2524> show version
Image stamp: /sw/code/build/info(s02)
May 31 2007 11:35:17
F.05.61
439
HP ProCurve Switch 2524> show system-information

Której wersji obrazu systemu IOS obecnie używa konfigurowany przez Ciebie przełącznik?
_________________________________________________________________________________

1.5. Konfiguracja ustawień zegara.

Poniższe kroki pokazują jak ręcznie skonfigurować wewnętrzny zegar przełącznika.
a. Wyświetl bieżące ustawienia zegara.
HP ProCurve Switch 2524# show time
Mon Jan 1 00:01:20 1990
h. Ustawienie zegara można zmienić w trybie globalnej konfiguracji. Wejdź do trybu konfiguracji,
wpisując polecenie configure terminal w wierszu trybu EXEC uprzywilijowanego użytkownika.
HP ProCurve Switch 2524# configure terminal
 Laboratorium Sieci Komputerowych.

i. Skonfigurować ustawienia zegara. Znak zapytania (?) dostarcza podpowiedzi dotyczących składni i
oczekiwanych opcji komend umożliwiających konfigurację aktualnego czasu, daty i roku.
HP ProCurve Switch 2524(config)# time ?
MM/DD[/[YY]YY] New date
HH:MM[:SS] New time
daylight-time-rule The daylight savings time rule for your location
begin-date The begin date of daylight savings time
end-date The end date of daylight savings time
timezone The number of minutes your location is West(-) or
East(+) of GMT

HP ProCurve Switch 2524# time 03/10/2019 ?

HH:MM[:SS] New time
daylight-time-rule The daylight savings time rule for your location
begin-date The begin date of daylight savings time
end-date The end date of daylight savings time
timezone The number of minutes your location is West(-) or
East(+) of GMT

HP ProCurve Switch 2524# time 03/10/2019 11:11:11 timezone +60

Fri Mar 15 11:11:11 2019

j. Wpisz polecenie show time, aby sprawdzić, czy ustawienie zegara zostało zaktualizowane.
HP ProCurve Switch 2524# show time
Fri Mar 15 11:11:11 2019

Pytania
1. Jak można zapobiec dostęp osoby nieupoważnionej do urządzenia Cisco poprzez port konsoli?
______________________________________________________________________________
______________________________________________________________________________
2. Jakie są wady i zalety korzystania z połączenia konsoli szeregowej w porównaniu do połączenia
konsoli USB do routera lub przełącznika Cisco?
______________________________________________________________________________
______________________________________________________________________________
 Laboratorium Sieci Komputerowych.

Zadanie 2 - Budowanie prostej sieci

Topologia

Tabela adresacji

Urządzenie Interfejs Adres IP Maska podsieci Brama domyślna

S1 VLAN 1 nie dotyczy nie dotyczy nie dotyczy

S2 VLAN 1 nie dotyczy nie dotyczy nie dotyczy
PC-A NIC 192.168.1.10 255.255.255.0 nie dotyczy
PC-B NIC 192.168.1.11 255.255.255.0 nie dotyczy

Sieci zbudowane są z trzech głównych komponentów: hostów, przełączników i routerów. W tym

zadaniu, należy zbudować prostą sieć składającą się z dwóch komputerów i dwóch przełączników.
Skonfigurować podstawowe ustawienia przełącznika w tym nazwę, hasła logowania i baner
logowania. Wykorzystanie polecenia show pozwoli wyświetlić bieżącą konfigurację, wersję IOS oraz
status interfejsów. Polecenia write memory, pozwoli zapisać konfigurację urządzeń. W celu
umożliwienia komunikacji między dwoma urządzeniami PC, należy zastosować odpowiednią
adresację IP, natomiast poleceniem ping, aby sprawdzić połączenie.
 Laboratorium Sieci Komputerowych.

2.1. Konfigurowanie topologii sieci (tylko Ethernet)

a. Należy wykonać połączenia kablowe zgodnie z przedstawioną topologią. Włączyć zasilanie
wszystkich urządzeń przedstawionych w topologii.
b. Należy podłączyć jeden koniec kabla Ethernet z przeplotem do portu F0/1 na S1, a drugi koniec
do portu F0/1 na S2. Diody dla portów F0/1 na obu przełączników powinny się zaświecić na
pomarańczowo i zmienić kolor na zielony. Oznacza to, że przełączniki są prawidłowo podłączone.
c. Należy podłączyć jeden koniec kabla bez przeplotu do portu Ethernet karty sieciowej w PC-A, a
drugi koniec tego kabla do portu F0/6 na S1. Po podłączeniu komputera do przełącznika, dioda na
porcie F0/6 zaświeci się kolorem pomarańczowym, a następnie zielonym, co oznacza, że PC jest
prawidłowo podłączony.
d. Podobnie należy podłączyć kartę sieciową komputera PC-B do portu F0/18 na przełączniku S2.
e. Należy podłączyć także kable konsolowe do odpowiednich przełączników PC-A do S1 i PC-B do
S2.
f. Po okablowaniu urządzeń sieciowych należy dokładnie sprawdzić wykonane połączenia sieciowe.
Pozwoli to zminimalizować czas potrzebny na rozwiązywanie późniejszych problemów z
połączeniami sieciowymi.
2.2. Konfiguracja statycznych adresów IP na komputerach PC.

a. Ustaw statyczny adres IP (zgodny z tabelą adresacji) dla karty sieciowej podłączonej do
przełącznika odpowiednio dla PC-A 192.168.1.10/24, podłączonego do S1 oraz 192.168.1.11/24
dla PC-B, podłączonego do S2. Brama domyślna nie została skonfigurowana, ponieważ w
zbudowanej sieci nie ma podłączonego routera. Sprawdź ustawienie komputera oraz jego
połączenie.
b. Sprawdzić ustawienia komputera i jego połączenie za pomocą polecenia ipconfig /all oraz za
pomocą polecenia ping 192.168.1.11 z PC-A oraz ping 192.168.1.10 z PC-B zweryfikować
łączność pomiędzy komputerami. Jeśli polecenie ping nie zostało wykonane pomyślnie, znajdź i
napraw błędy?
a. Korzystając z Tera Term, należy nawiązać połączenie konsolowe z PC-A do przełącznika S1 oraz
z PC-B do przełącznika S2. Konfigurację przełączników każdy wykonuje samodzielnie. Jedna
osoba konfiguruje przełącznik S1 a druga S2. Różnica w konfiguracji przełącznika S2 polega
jedynie na użyciu nazwy S2.
b. Przejdź do uprzywilejowanego trybu EXEC. W uprzywilejowanym trybie EXEC, można uzyskać
dostęp do wszystkich poleceń przełącznika. W zestawie poleceń trybu użytkownika
uprzywilejowanego dostępne jest między innymi polecenie configure umożliwiające uzyskanie
dostępu do pozostałych trybów poleceń. Aby wejść do trybu uprzywilejowanego EXEC należy
wprowadzić komendę enable.
HP ProCurve Switch 2524#disable
HP ProCurve Switch 2524>enable
HP ProCurve Switch 2524#
Znak zachęty zmienił się z HP ProCurve Switch 2524> na HP ProCurve Switch 2524#, który
wskazuje na przejście do trybu uprzywilejowanego EXEC.
e. Za pomocą polecenia configure terminal przejdź do trybu konfiguracji globalnej.
HP ProCurve Switch 2524# configure terminal
HP ProCurve Switch 2524(config)#
Należy zwrócić uwagę na zmianę symbolu zachęty odzwierciedlającą przejście do konfiguracji
globalnej.
f. Za pomocą polecenia hostname, zmienić nazwę przełącznika na S1 (odpowiednio nazwa dla
S2)
HP ProCurve Switch 2524(config)# hostname S1
S1(config)#
 Laboratorium Sieci Komputerowych.

g. Wprowadzić lokalne hasła. Hasła muszą być skonfigurowane, aby zapobiec nieautoryzowanemu
dostępowi do przełącznika.
S1(config)# password manager
New password for Manager: class
Please retype new password for Manager: class
S1(config)# password operator
New password for Operator: cisco
Please retype new password for Operator: cisco
S1(config)#exit
h. Zapisanie konfiguracji bieżącej jako konfiguracji startowej w nieulotnej pamięci RAM (NVRAM).
S1# write memory
S1#

2.3. Weryfikacja domyślnych ustawień przełącznika

a. Wyświetlenie bieżącej konfiguracji za pomocą polecenia show running-config spowoduje

wyświetlenie bieżącej konfiguracji z uwzględnieniem podziału na strony. Użycie spacji spowoduje
przejście na kolejną stronę.
S1# show running-config
Running configuration:

; J4813A Configuration Editor; Created on release #F.05.61

hostname "S1"
cdp run
snmp-server community "public" Unrestricted
vlan 1
name "DEFAULT_VLAN"
untagged 1-26
ip address dhcp-bootp
exit
no aaa port-access authenticator active
password manager
password operator
S1#

b. Polecenie show system-information wyświetli wersję IOS uruchomioną na przełączniku, a także

inne przydatne informacje o tym urządzeniu.
S1# show system-information
Status and Counters - General System Information

System Name : S1
System Contact :
System Location :

MAC Age Time (sec) : 300

Time Zone : 0
Daylight Time Rule : None
 Laboratorium Sieci Komputerowych.

Software revision : F.05.61 Base MAC Addr : 0004ea-a9b480

ROM Version : F.01.01 Serial Number : SG14460809

Up Time : 42 mins Memory - Total : 10,283,200

CPU Util (%) : 10 Free : 8,109,584

IP Mgmt - Pkts Rx : 0 Packet - Total : 512

Pkts Tx : 0 Buffers Free : 510
Lowest : 509
Missed : 0
S1#

c. Aby sprawdzić status podłączonych interfejsów przełącznika, należy użyć polecenia show ip
interface brief .
S1# show interfaces brief
Status and Counters - Port Status
| Intrusion Flow Bcast
Port Type | Alert Enabled Status Mode Ctrl Limit
---- --------- + --------- ------- ------ ---------- ----- ------
1 10/100TX | No Yes Up 100FDx off 0
2 10/100TX | No Yes Down 10FDx off 0
3 10/100TX | No Yes Down 10FDx off 0
4 10/100TX | No Yes Down 10FDx off 0
5 10/100TX | No Yes Down 10FDx off 0
6 10/100TX | No Yes Up 100FDx off 0
7 10/100TX | No Yes Down 10FDx off 0
8 10/100TX | No Yes Down 10FDx off 0
9 10/100TX | No Yes Down 10FDx off 0
10 10/100TX | No Yes Down 10FDx off 0
11 10/100TX | No Yes Down 10FDx off 0
12 10/100TX | No Yes Down 10FDx off 0
13 10/100TX | No Yes Down 10FDx off 0
14 10/100TX | No Yes Down 10FDx off 0
15 10/100TX | No Yes Down 10FDx off 0
16 10/100TX | No Yes Down 10FDx off 0
17 10/100TX | No Yes Down 10FDx off 0
18 10/100TX | No Yes Down 10FDx off 0
19 10/100TX | No Yes Down 10FDx off 0
20 10/100TX | No Yes Down 10FDx off 0
21 10/100TX | No Yes Down 10FDx off 0
22 10/100TX | No Yes Down 10FDx off 0
23 10/100TX | No Yes Down 10FDx off 0
24 10/100TX | No Yes Down 10FDx off 0
25 | No Yes Down off 0
26 | No Yes Down off 0
S1#
 Laboratorium Sieci Komputerowych.

Zapisanie informacji o statusie interfejsu dla następujących interfejsów.

S1 S2

Interfejs Status Protokół Stan Protokół

F0/1
F0/6
F0/18

Dlaczego niektóre porty FastEthernet na przełącznikach są włączone, a inne są wyłączone?

______________________________________________________________________________
______________________________________________________________________________
Co może uniemożliwić przesłanie żądania ping pomiędzy komputerami?
______________________________________________________________________________
d. Sprawdzić właściwości interfejsu SVI dla VLAN 1.
S1# show vlan1
Jaki jest wynik użycia komendy?
_______________________________________________________________________________
e. Sprawdzić domyślne ustawienia interfejsu, do którego podłączony jest PC-A i PC-B
S1# show interface 6 S2# show interface 18
Czy interfejs jest włączony czy wyłączony (up czy down)? _____________________
Jakie zdarzenie może zmienić stan interfejsu na
włączony?_____________________________________
Jaka jest prędkość oraz ustawienia dupleksu tego interfejsu? ______________________
Sprawdź domyślne ustawienia VLAN na przełączniku.
Switch# show vlan
Jaka jest domyślna nazwa VLAN 1? ____________
Ile maksymalnie można skonfigurować VLAN? ______________________________
Czy VLAN 1 jest aktywny? ____________
f. Sprawdzić adresacje IP
Switch# show ip
Jaki jest adres IP VLAN 1? ____________
f. Sprawdzić adres IP do zarządzania
Switch# show management
Jaki jest adres IP VLAN? ____________
Jaki jest adres nazwa VLAN? ____________
Jaki jest adres MAC VLAN? ____________
g. Sprawdzić graficzne do zarządzania
Switch# menu
Dokonaj przeglądu podstawowych ustawień przełącznika.
 Laboratorium Sieci Komputerowych.

2.4. Zarządzanie tabelą adresów MAC

W tej części należy odczytać adres MAC komputera i dokonać statycznego przypisania tego adresu
na interfejsie przełącznika.
a. Należy odczytać i zanotować adres fizyczny karty sieciowej poleceniem ipconfig /all.

b. Określić adres MAC, którego uczy się przełącznik, używając komendy show mac-address.
S1# show mac-address
S1# show mac-address 1-24
S1#walkmib ifphysaddress
Ile dynamicznych adresów MAC znajduje się w tablicy? ____________
Ile wszystkich adresów MAC znajduje się w tablicy? ____________
Czy dynamiczny adres MAC odpowiada adresowi komputera PC-A? ____________

Zadanie 3 – Zdalny dostęp do przełącznika

Topologia

Tabela adresacji

Urządzenie Interfejs Adres IP Maska podsieci Brama domyślna

S1 VLAN 1 192.168.1.2 255.255.255.0 nie dotyczy

S2 VLAN 1 192.168.1.3 255.255.255.0 nie dotyczy
PC-A NIC 192.168.1.10 255.255.255.0 nie dotyczy
PC-B NIC 192.168.1.11 255.255.255.0 nie dotyczy

3.1. Konfiguracja interfejsu do zarządzania przełącznikiem

W tym zadaniu należy wykonać konfigurację adresowania IP oraz wykorzystać adres IP do zdalnego
zarządzania przełącznikiem. Topologia jest taka sama jak w zadaniu 2. Konfigurację pozostawić z
zadania 2.
a. W celu umożliwienia zdalnego zarządzania w trybie konfiguracji globalnej należy ustawić adres IP
dla interfejsu SVI przełącznika.
S1# config t
S1#(config)# vlan 1
S1(vlan-1)# ip address 192.168.1.2 255.255.255.0
S1(vlan-1)# enable
 Laboratorium Sieci Komputerowych.

S1(vlan-1)# name zdalny

S1(vlan-1)# end
b. Wyświetlić i sprawdzić konfigurację przełącznika poprzez wydanie polecenia show run.
Przykładowa konfiguracja została pokazana poniżej. Skonfigurowane ustawienia oznaczono żółtym
kolorem. Pozostałe ustawienia konfiguracyjne są domyślne.
S1# show run
Running configuration:

; J4813A Configuration Editor; Created on release #F.05.61

hostname "S1"
time timezone 60
cdp run
no web-management
interface 1
no lacp
exit
interface 6
no lacp
exit
snmp-server community "public" Unrestricted
vlan 1
name "zdalny"
untagged 1-26
ip address 192.168.1.2 255.255.255.0
exit

no aaa port-access authenticator active

password manager
password operator

c. Sprawdzić ustawienia komputerów i ich połączenia za pomocą polecenia ipconfig /all oraz za
pomocą polecenia ping adresy IP 192.168.1.10, 192.168.1.11, 192.168.1.2, 192.168.1.3 z PC-A z
PC-B zweryfikować łączność pomiędzy urządzeniami. Jeśli polecenie ping nie zostało wykonane
pomyślnie, znajdź i napraw błędy?
d. Usługi Telnet pozwala uzyskać zdalny dostęp do przełącznika S1 i S2 za pomocą adresu SVI.
Telnet to usługa oparta na protokole bez zabezpieczeń. Wszystkie informacje przesyłane przez
Telnet (hasła i polecenia) są przesyłane w postaci jawnego tekstu. W kolejnych zadaniach należy
korzystać z SSH (Secure Shell), aby uzyskać zdalny dostęp do urządzeń sieciowych. Uruchomić
program putty, wybrać rodzaj połączenia telnet, wpisać adres IP interfejsu SVI przełącznika.
Podać hasło dostępu cisco.
 Laboratorium Sieci Komputerowych.

e. W sesji Telnet zapisać plik konfiguracyjny i zakończyć sesję Telnet za pomocą polecenia quit
S1# write memory
S1# end
Dlaczego musisz korzystać z połączenia konsolowego do wstępnej konfiguracji przełącznika?
Dlaczego nie można połączyć się z przełącznikiem przez Telnet lub SSH?
_________________________________________________________________________________

3.2. Opcjonalnie - Konfiguracja zdalnego zarządzania z wykorzystaniem SSH

a. Generowanie kluczna na S1.

S1(config)# crypto key generate ssh
Installing new RSA key. If the key/entropy cache is depleted, this could
take up to a minute.
b. Dla interfejsu wirtualnego należy zezwolić tylko na połączenia SSH i lokalnej autentyfikacji
użytkownika. Uwaga: Użyte tu hasło nie jest silne. Takie powinno być używane tylko do celów
dydaktycznych.
S1(config)# ip ssh
S1(config)# password manager
S1(config)# password manager user-name admin
New password for Manager: class
Please retype new password for Manager: class
S1(config)# password operator user-name monitor
New password for Operator: cisco
Please retype new password for Operator: cisco
S1(config)# no telnet-server
S1(config)#
S1# sh ip ssh

SSH Enabled : Yes

IP Port Number : 22
Timeout (sec) : 120
Server Key Size (bits) : 512

Ses Type Source IP and Port

 Laboratorium Sieci Komputerowych.

--- -------- ---------------------

1 console
2 ssh 192.168.1.10:2325
3 inactive
4 inactive

S1# sh ip ssh

SSH Enabled : Yes

IP Port Number : 22
Timeout (sec) : 120
Server Key Size (bits) : 512

Ses Type Source IP and Port

--- -------- ---------------------
1 console
2 inactive
3 inactive
4 inactive
c. Weryfikacja konfiguracji SSH.
S1# show ip ssh
Jaka jest wersja SSH używana przez przełącznik? _______________________
Ile jest dozwolonych prób logowania? _______________________
Jaki jest domyślny czas nieaktywności (timeout) dla SSH? _______________________
d. Używając klienta SSH na komputerze PC-A i PC-B (np. Putty), należy zestawić połączenie SSH
odpowiednio do S1 i S2. Należy zaakceptować okno dotyczące klucza i zalogować się używając
nazwy admin oraz hasła sshadmin.
Czy połączenie powiodło się?
e. Za pomocą polecenia exit należy zamknąć sesję SSH

3.3. Konfiguracja i weryfikacja aspektów bezpieczeństwa na przełączniku.

W tej części należy wyłączyć nieużywane porty oraz wybrane usługi a także skonfigurować reguły
bezpieczeństwa na portach, bazujące na adresach MAC. Przełączniki mogą być przedmiotem ataków
oraz nieautoryzowanego dostępu do portów. Należy skonfigurować liczbę adresów MAC, których
może nauczyć się przełącznik i wyłączy port, jeśli ta liczba zostanie przekroczona.
a. Sprawdzenie, które fizyczne porty są włączone za pomocą komendy show interface brief na S1
oraz S2.
___________________________________________________________________________
b. Wyłączyć wszystkie nieużywane porty, za pomocą komendy interface.
S1(config)# interface 2-5
S1(eth-2-5)# disable
S1(eth-2-5)# exit
S1(config)# interface 7-24
S1(eth-7-24)# disable
S1(eth-7-24)# end
 Laboratorium Sieci Komputerowych.

S1#
S2(config)# interface 2-17
S2(eth-2-17)# disable
S2(eth-2-17)# exit
S2(config)# interface 19-24
S2(eth-19-24)# disable
S2(eth-19-24)# end
S2#
c. Weryfikacja statusu portów komendą show interface brief. Jaki jest status portów od F0/1 do
F0/24?
___________________________________________________________________________
d. Weryfikacja status serwera http komendą show console.
Jaki jest status zarządzania przez interfejs www? ___________________________
Jaki status zarządzania przez interfejs telnet? ___________________________
e. Wyłączenie zarządzania przez telnet oraz interfejs www na przełączniku.
S1(config)# no telnet-server
S1(config)# no web-managament
f. Zweryfikuj działanie powyższych poleceń. Jaki jest rezultat?
___________________________________________________________________________

3.4. Konfiguracja i weryfikacja bezpieczeństwa portu

a. Konfiguracja podstawowego bezpieczeństwa portów.
Ta procedura powinna być wykonana na wszystkich używanych portach przełącznika. Port
F0/6 pokazany jest tu jako przykład dla S1 i PC-A, dla S2 i PC-B wybrać port F0/18
S1(config)# interface 6
S1(eth-6)# disable
S1(eth-6)# exit
S1(config)# port-security 6 learn-mode static
S1(config)# port-security 6 action send-disable
S1(config)# port-security 6 address-limit 1
S1(config)# port-security 6 mac-address xxxxxx-xxxxxx
S1(config)# switchport port-security
Uwaga: Wpisanie komendy switchport port-security ustawia maksymalna liczbę adresów
MAC na 1 oraz wyłącza port po przekroczeniu tej liczby. Komendy switchport port-security
maximum oraz switchport port-security violation są używane do zmiany domyślnych
ustawień. (xxxx.xxxx.xxxx adres MAC interfejsu komputera PC-A lub PC-B)
S1(config)# interface 6
S1(eth-6)# enable
S1(eth-6)# exit
b. Weryfikacja bezpieczeństwa portu F0/6 na przełączniku S1 za pomocą komendy
show port-security interface.
S1# sh port-security 6

Port Security

Port : 6
 Laboratorium Sieci Komputerowych.

Learn Mode [Continuous] : Static Address Limit [1] : 1

Action [None] : Send Alarm, Disable Port

Authorized Addresses
--------------------
1c6f65-9181cd
Jaki parametry bezpieczeństwa portu F0/6? ___________________________
c. Wymuszenie naruszenia bezpieczeństwa portów.
S1(config)# interface 6
S1(eth-6)# disable
S1(eth-6)# exit
S1(config)# no port-security 6
S1(config)# port-security 6 learn-mode static
S1(config)# port-security 6 address-limit 1
S1(config)# port-security 6 mac-address 000000-000001
S1(config)# port-security 6 action send-disable
S1(config)# int 6
S1(eth-6)# enable
S1(eth-6)# exit

d. Na przełączniku należy zweryfikować bezpieczeństwo portu następującymi

komendami.
S1# show port-security intrusion-log

Status and Counters - Intrusion Log

Port MAC Address Date / Time

---- ------------- --------------------------
6 1c6f65-9181cd 2 hours
6 1c6f65-9181cd 2 hours
6 1c6f65-9181cd 2 hours

S1# show port-security 6

Port Security

Port : 6
Learn Mode [Continuous] : Static Address Limit [1] : 1
Action [None] : Send Alarm, Disable Port

Authorized Addresses
--------------------
000000-000001

S1# show interfaces brief

Status and Counters - Port Status

 Laboratorium Sieci Komputerowych.

| Intrusion Flow Bcast

Port Type | Alert Enabled Status Mode Ctrl Limit
---- --------- + --------- ------- ------ ---------- ----- ------
1 10/100TX | No Yes Up 100FDx off 0
2 10/100TX | No Yes Down 10FDx off 0
3 10/100TX | No Yes Down 10FDx off 0
4 10/100TX | No Yes Down 10FDx off 0
5 10/100TX | No Yes Down 10FDx off 0
6 10/100TX | Yes No Down 100FDx off 0
7 10/100TX | No Yes Down 10FDx off 0
8 10/100TX | No Yes Down 10FDx off 0
9 10/100TX | No Yes Down 10FDx off 0
10 10/100TX | No Yes Down 10FDx off 0
11 10/100TX | No Yes Down 10FDx off 0
12 10/100TX | No Yes Down 10FDx off 0
13 10/100TX | No Yes Down 10FDx off 0
14 10/100TX | No Yes Down 10FDx off 0
15 10/100TX | No Yes Down 10FDx off 0
16 10/100TX | No Yes Down 10FDx off 0
17 10/100TX | No Yes Down 10FDx off 0
e. Włączenie interfejsu z maksymalne dwoma adresami MAC uzyskanymi statycznie,
(xxxx.xxxx.xxxx adres MAC interfejsu komputera PC-A lub PC-B).
S1(config)# interface 6
S1(eth-6)# disable
S1(eth-6)# exit
S1(config)# port-security 6
S1(config)# port-security 6 mac-address xxxxxx-xxxxxx address-limit 2
S1(config)# interface 6
S1(eth-6)# enable
S1(eth-6)# exit

f. Zweryfikować status portu poleceniem:

S1# show port-security 6
Port Security

Port : 6
Learn Mode [Continuous] : Static Address Limit [1] : 2
Action [None] : Send Alarm, Disable Port

Authorized Addresses
--------------------
000000-000001
1c6f65-9181cd

g. Zweryfikować konfigurację
Dlaczego włącza się bezpieczeństwo portów na przełączniku?
______________________________________________________________________________
 Laboratorium Sieci Komputerowych.

Dlaczego nieużywane porty przełącznika powinny być wyłączone?

______________________________________________________________________________

Na końcu ćwiczenia koniecznie wykonaj procedurę kasowania

konfiguracji przełącznika z dodatku A, znajdującego się na końcu
tej instrukcji.
 Laboratorium Sieci Komputerowych.

Dodatek A: Inicjalizacja i restartowanie przełącznika

Krok 1. Podłącz się do przełącznika.

Nawiąż połączenie konsolowe z przełącznikiem, a następnie przejdź do trybu uprzywilejowanego.
Switch> enable
Switch#

Krok 2. Usuń plik konfiguracji startowej i przeładuj przełącznik.

Użyj polecenia erase startup-config, aby usunąć plik konfiguracji startowej z pamięci NVRAM.
Gdy pojawi się pytanie o usunięcie pliku konfiguracyjnego, naciśnij klawisz Y, aby potwierdzić
chęć jego skasowania. (Wciśnięcie innego klawisza spowoduje anulowanie procesu.)
Switch# erase startup-config
Switch#