Вы находитесь на странице: 1из 33

Лабораторная работа №1:

Обзор внутренних характеристик коммутатора CISCO 3560-CX

Цель работы.
В соответствии с рабочей программой по дисциплине «Эксплуатация объектов сетевой
инфраструктуры», в результате выполнения лабораторной работы №1, студент должен:
знать:
 управление конфигурации устройства,
 правила эксплуатации технических средств сетевой инфраструктуры,
 порядок технических осмотров, проверок и профилактических работ.

уметь:
 тестировать кабели и коммуникационные устройства,
 наблюдать за трафиком, выполнять операции резервного копирования и
восстановления данных.

Таким образом, в результате выполнения лабораторной работы студент должен закрепить


теоретические знания о внутренних характеристиках коммутатора и приобрести
практические навыки их исследования.

Краткие сведения из теории

Внутренние характеристики коммутатора определяют физические устройства,


расположенные на печатной плате. К ним относятся процессор, ПЗУ, NVRAM, флэш и RAM
память, контроллеры портов. Процессор реализует обработку команд операционной системы,
значения его регистров указывают пути загрузки коммутатора. Память содержит текущий и
стартовый конфигурационный файл, образ операционной системы, программы
самотеcтирования. Контроллер порта производит обработку кадров ETHERNET,
передаваемых сетевыми узлами, подключенными к портам.
К внутренним характеристикам относятся: число и тип портов, размер памяти, версия
операционной системы, адрес конфигурационного регистра, файлы флэш-памяти, параметры
стартового конфигурационного файла, файлы операционной системы.

Порядок выполнения лабораторной работы

1. подключите управляющий хост-узел к коммутатору по консольному порту,


используя интерфейс RS-232, согласно рисунка,

2. используя команду show version, определите номер версии и тип программного


обеспечения, тип процессора и его объем памяти, число интерфейсов и их стандарт,
объем флэш памяти и номер конфигурационного регистра,
3. используя команду show flash, просмотрите содержимое флэш памяти и
определите назначение флагов файлов,
4. используя команду show file systems, просмотрите содержимое файловой
системы и определите назначение флагов файлов.

Отчет по выполненной лабораторной работе

Отчет должен содержать:


 название и № лабораторной работы,
 фамилия, имя студента, дату выполнения,
 рисунок схемы,
 содержание флэш памяти и флаги файлов,
 размер и содержание файловой системы и флаги файлов,
 технические параметры системы, представленные командой show version

Контрольные вопросы

 Перечислите типы флагов файлов и объясните их назначение


 Какую функцию выполняет флэш памяти
 Какую функцию выполняет процессор коммутатора
 Какое значение имеет номер конфигурационного регистра

Лабораторная работа №2:


Установка первоначальных параметров коммутатора CISCO 3560-CX

Цель работы.
В соответствии с рабочей программой по дисциплине «Эксплуатация объектов сетевой
инфраструктуры», в результате выполнения лабораторной работы №2, студент должен:
знать:
 управление конфигурации устройства,
 правила эксплуатации технических средств сетевой инфраструктуры,
 порядок технических осмотров, проверок и профилактических работ.

уметь:
 тестировать кабели и коммуникационные устройства,
 наблюдать за трафиком, выполнять операции резервного копирования и
восстановления данных.

Таким образом, в результате выполнения лабораторной работы студент должен закрепить


теоретические знания о принципах установки системного имени, IP адреса коммутатора,
времени, даты и приобрести практические навыки по их настройки.

Краткие сведения из теории

Все сетевые устройства в локальных и внешних сегментах сетей должны иметь уникальное
сетевое имя. По имени устройства можно получить доступ к нему для проверки параметров
конфигурации, изменения параметров определенных интерфейсов, контроля его
работоспособности.
В исходную конфигурацию устройства Cisco IOS входит задание имени устройства, его IP
адреса, даты и время. Имя устройства задается на основе правил задания имен ARPANET.
Правило устанавливает длину имени не более 63 символов и первый
символ должен быть буквой. Конечный символ-буква или цифра,
внутренние символы- цифры, буквы, черточки.
Для определения событий, происходящих на коммутаторе, необходимо
задать системное время и дату на коммутаторе. Эти параметры можно
установить тремя методами:
 ручной настройкой,
 на основе серверов точного времени NTP,
 на основе часов реального времени RTC
Чтобы работать с коммутатором Cisco через средства управления на базе
протокола Telnet, SSH нужно настроить для управления IP-адрес.
Для того чтобы назначить коммутатору адрес, этот адрес должен быть назначен интерфейсу
виртуальной локальной сети VLAN. В сети VLAN несколько физических портов могут быть
объединены логически. По умолчанию существует только одна сеть VLAN, которая заранее
настроена в коммутаторе — VLAN1, и она обеспечивает доступ к функциям управления.
Чтобы установить имя коммутатору, создать IP-адрес интерфейса
управления VLAN 1, дату и время нужно перейти в режим глобальной
конфигурации.

Порядок выполнения лабораторной работы

1. запустите программу Cisco Packet Tracer,


2. подключите управляющий хост-узел к коммутатору по консольному порту, используя
интерфейс RS-232, согласно рисунка,

3. перейдите в режим глобальной конфигурации коммутатора,


4. установите имя коммутатору с помощью следующей команды: hostname <имя>,
5. возвратитесь в глобальный режим командой exit,
6. задайте IP адрес коммутатору на основе сетевого IP адреса
192.168.0.0 255.255.255.0 с помощью следующих команд: interface
vlan vlan1, ip address ip-address subnet-mask, no shutdown,
7. установите дату и время командой clock set hh:mm:ss day month year,
8. перейдите в привилегированный режим командой end,
9. проверьте установленное время командой show clock,
10. проверьте наличие установленных параметров в конфигурационном файле,
11. сохраните изменения конфигурации в стартовом файле,

Отчет по выполненной лабораторной работе

Отчет должен содержать:


 название и № лабораторной работы,
 фамилия, имя студента, дату выполнения,
 рисунок схемы,
 команду установки имени коммутатору
 команды назначения IP адреса
 команду установки даты и времени

Контрольные вопросы

 Объясните назначение имени коммутатора


 Какие требования предъявляются к имени коммутатора
 Какие команды используются для установки IP адреса коммутатора
 Какие методы используются для установки даты и времени

Лабораторная работа №3:


Настройка параметров контроля доступа пользователя к коммутатору CISCO 3560-CX
при консольном подключении и протоколу Telnet

Цель работы.
В соответствии с рабочей программой по дисциплине «Эксплуатация объектов сетевой
инфраструктуры», в результате выполнения лабораторной работы №3, студент должен:
знать:
 управление конфигурации устройства,
 правила эксплуатации технических средств сетевой инфраструктуры,
 порядок технических осмотров, проверок и профилактических работ.

уметь:
 тестировать кабели и коммуникационные устройства,
 наблюдать за трафиком, выполнять операции резервного копирования и
восстановления данных.

Таким образом, в результате выполнения лабораторной работы студент должен закрепить


теоретические знания о принципах настройки параметров контроля доступа пользователя к
коммутатору и приобрести практические навыки по их настройки.

Краткие сведения из теории

Для защиты от несанкционированного доступа в коммутаторе реализована процедура


аутентификации. Для выполнения этой процедуры необходимо настроить два параметра, а
именно имя пользователя и пароль. Имя пользователя и его пароль хранятся в локальной
базе коммутатора.
Процедура аутентификации выполняется как при внеполосном управлении коммутатором
(подключение к коммутатору по консольному порту), так и при внутриполосном управлении
(подключение к коммутатору по протоколам Telnet, HTTP, SSH).
Пароли хранятся в файле текущей конфигурации, в формате незашифрованного текста.
Необходимо включить шифрование всех паролей, которые хранятся в памяти
маршрутизатора. Это создаст дополнительные сложности в случае несанкционированного
доступа, так как пароли будет нельзя прочесть. Команда service password-encryption,
введенная в режиме глобальной конфигурации, обеспечивает шифрование всех паролей.
Порядок выполнения лабораторной работы

1. запустите программу Cisco Packet Tracer,


2. подключите управляющий хост-узел к коммутатору по консольному порту, используя
интерфейс RS-232, согласно рисунка,

3. перейдите в режим глобальной конфигурации коммутатора,


4. задайте пароль для привилегированного режима командой enable password
password,
5. задайте IP адрес коммутатору на основе сетевого IP адреса
172.16.0.0 255.255.0.0 с помощью следующих команд: interface vlan
vlan1, ip address ip-address subnet-mask, no shutdown,
6. задайте имя пользователя и пароль при подключении к коммутатору, используя
следующую команду: username name [privilege level]{password encryption-type
password} (уровень привилегий лежит в диапазоне от 0 до15: уровень1-
пользовательский режим, уровень15-привилегированный режим, тип шифрования: 0-
нешифрованный пароль, 7-скрытый пароль),
7. задайте функцию шифрования пароля командой service password-
encryption,
8. определите консольный интерфейс подключения командой line console 0,
9. определите параметры аутентификации как локальные командой
login local,
10. возвратиться в привилегированный режим командой end,
11. проверьте параметры настроек командой show running-config и
сохраните в памяти NVRAM,
12. задайте имя пользователя и пароль при подключении к
коммутатору по виртуальному интерфейсу vty (протокол TELNET) по
пункту 4 (пароль должен быть зашифрован),
13. определите виртуальный интерфейс командой line vty 0 4 и
укажите командой, что пароль локальный,
14. проверьте параметры настроек и сохраните их в памяти,
15. проверьте прохождение процедуры аутентификации пользователем
при подключении к коммутатору по консоли и протоколу Telnet и
запишите результат
16. проверьте доступ к привилегированному режиму.

Отчет по выполненной лабораторной работе

Отчет должен содержать:


 название и № лабораторной работы,
 фамилия, имя студента, дату выполнения,
 рисунок схемы,
 команды создания имени пользователя и пароля
 команду установки функции шифрования
 команды определения интерфейсов подключения
 команду проверки параметров аутентификации
 команду задания пароля для привилегированного режима

Контрольные вопросы

 Объясните назначение параметров аутентификации: имени пользователя и пароля


 Какую функцию выполняет шифрование паролей
 Объясните, зачем скрывают пароли
 Какая команда определяет локальность паролей
 Зачем устанавливать пароля для привилегированного режима

Лабораторная работа №4:


Настройка безопасного доступа к коммутатору CISCO 3560-CX по протоколу SSH

Цель работы.
В соответствии с рабочей программой по дисциплине «Эксплуатация объектов сетевой
инфраструктуры», в результате выполнения лабораторной работы №4, студент должен:
знать:
 управление конфигурации устройства,
 правила эксплуатации технических средств сетевой инфраструктуры,
 порядок технических осмотров, проверок и профилактических работ.

уметь:
 тестировать кабели и коммуникационные устройства,
 наблюдать за трафиком, выполнять операции резервного копирования и
восстановления данных.

Таким образом, в результате выполнения лабораторной работы студент должен закрепить


теоретические знания о принципах настройки безопасного доступа по протоколу SSH и
приобрести практические навыки по настройки его параметров.

Краткие сведения из теории

SSH — «безопасная оболочка» — сетевой протокол прикладного уровня, позволяющий


производить удаленное управление коммутационными устройствами. Похож по
функциональности с протокол TELNET но, в отличие от него, шифрует весь трафик, включая
и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования.
Также SSH может использовать сжатие передаваемых данных для последующего их
шифрования, что удобно, например, для удалённой настройки сетевых устройств.
SSH протокол реализует сетевую модель клиент — сервер. В настоящее время используется
версия протокола SSH-2.

Порядок выполнения лабораторной работы


1. запустите программу Cisco Packet Tracer,
2. подключите управляющий хост-узел к коммутатору по консольному порту, используя
интерфейс RS-232, согласно рисунка,

3. просмотрите версию и конфигурацию SSH для сервера show ip ssh,


4. просмотрите статус SSH сервера на коммутаторе show ssh,
5. перейдите в режим глобальной конфигурации коммутатора
6. задайте имя коммутатору hostname hostname,
7. задайте пароль для привилегированного режима командой enable password
password,
8. задайте функцию шифрования пароля командой service password-
encryption,
9. задайте IP адрес коммутатору на основе сетевого IP адреса 10.0.0.0
255.0.0.0 с помощью следующих команд: interface vlan vlan1, ip address
ip-address subnet-mask, no shutdown,
10. создайте запись локальной базы данных пользователей, которую вы будете
использовать для подключения к коммутатору через SSH, пользователь должен
обладать правами доступа администратора username admin privilege 15 secret
password,
11. настройте вход транспортировки таким образом, чтобы в каналах VTY были
разрешены только подключения по протоколу SSH, для аутентификации используйте
локальную базу данных:
line vty 0 15
transport input ssh
login local
exit
12. задайте имя домена для коммутатора ip domain-name domain_name,
13. создайте ключ шифрования RSA с использованием модуля 1024 бит
crypto key generate rsa,
14. проверьте конфигурацию SSH,
15. задайте версию протокола ip ssh version 2,
16. установите время timeout 30с (по умолчанию 120с) и число попыток повторной
аутентификации (по умолчанию 3, диапазон 0 - 5 ) для протокола SSH:
ip ssh timeout seconds
ip ssh authentication-retries number
17. проверьте конфигурацию SSH show ip ssh,
18. сохраните в постоянной памяти,
19. установите связь между Laptop1 и коммутатором по протоколу SSH, запишите
результат,
20. проверьте выполнение функции timeout и authentication-retries, запишете результат,
21. проверьте доступ к привилегированному режиму,
22. просмотрите статус SSH сервера.

Отчет по выполненной лабораторной работе

Отчет должен содержать:


 название и № лабораторной работы,
 фамилия, имя студента, дату выполнения,
 рисунок схемы,
 команды настройки канала VTY для протокола SSH
 команду создания учетной записи пользователя в локальной базе коммутатора
 команду генерирования ключей RSA
 команды настройки протокола SSH
 команды проверки параметров протокола SSH

Контрольные вопросы

Назначение протокола SSH


Какую сетевую модель реализует протокол SSH
Какую функцию выполняют ключи шифрования
Какая команда позволяет задать число попыток повторной
аутентификации

Лабораторная работа №5:


Конфигурация баннера коммутатора CISCO 3560-CX

Цель работы.
В соответствии с рабочей программой по дисциплине «Эксплуатация объектов сетевой
инфраструктуры», в результате выполнения лабораторной работы №5, студент должен:
знать:
 управление конфигурации устройства,
 правила эксплуатации технических средств сетевой инфраструктуры,
 порядок технических осмотров, проверок и профилактических работ.

уметь:
 тестировать кабели и коммуникационные устройства,
 наблюдать за трафиком, выполнять операции резервного копирования и
восстановления данных.

Таким образом, в результате выполнения лабораторной работы студент должен закрепить


теоретические знания о принципах конфигурации баннера коммутатора и приобрести
практические навыки по его настройки.

Краткие сведения из теории

Баннер — это текст, который видит пользователь при первоначальном входе в


маршрутизатор. Настройка соответствующего баннера является частью продуманного плана
обеспечения безопасности. Баннер должен как минимум содержать предупреждение
относительно несанкционированного доступа. Никогда не устанавливайте баннер в виде
приветствия для пользователя, не имеющего соответствующих прав доступа.

Существует два типа баннеров: сообщение дня (MOTD) и информация для входа. Два
отдельных баннера нужны для того, чтобы можно было заменить один из них, не затрагивая
при этом все сообщение баннера целиком.
Для настройки баннеров служат команды banner motd и banner login. Для обоих типов в
качестве разделителя в начале и в конце сообщения используется символ "#". Этот символ
позволяет пользователю задать баннер, состоящий из нескольких строк.

Если заданы оба баннера, то баннер входа в систему появляется после MOTD, но перед тем
как вводить учетные данные для входа.

Порядок выполнения лабораторной работы

1. подключите управляющий хост-узел к коммутатору по консольному порту, используя


интерфейс RS-232, согласно рисунка,

2. перейдите в режим глобальной конфигурации коммутатора,


3. задайте имя коммутатору hostname hostname,
4. задайте пароль для привилегированного режима командой enable password
password,
5. задайте функцию шифрования пароля командой service password-
encryption,
6. задайте IP адрес коммутатору на основе сетевого IP адреса 10.0.0.0
255.0.0.0 с помощью следующих команд: interface vlan vlan1, ip address
ip-address subnet-mask, no shutdown,
7. задайте имя пользователя и пароль при подключении к коммутатору, используя
следующую команду: username name [privilege level]{password encryption-type
password} (уровень привилегий лежит в диапазоне от 0 до15: уровень1-
пользовательский режим, уровень15-привилегированный режим, тип шифрования: 0-
нешифрованный пароль, 7-скрытый пароль),
8. определите виртуальный интерфейс командой line vty 0 4 и
укажите командой login local, что пароль локальный,
9. задайте баннер сообщение дня командой banner motd c message c,
10. задайте баннер информации для входа командой banner login c message c,
11. проверьте создания баннера и сохраните в стартовом конфигурационном файле,
12. проверьте появление информации баннеров при подключении к коммутатору по
протоколу Telnet и запишите результат.

Отчет по выполненной лабораторной работе

Отчет должен содержать:


 название и № лабораторной работы
 фамилия, имя студента, дату выполнения
 рисунок схемы
 команды создания баннера
 команды проверки созданных баннеров

Контрольные вопросы

 Объясните назначение баннеров


 Какие типы баннеров можно создать в коммутаторе
 В какой последовательности появляется информация баннеров

Лабораторная работа №6:


Настройка параметров физических портов коммутатора CISCO 3560-CX

Цель работы.
В соответствии с рабочей программой по дисциплине «Эксплуатация объектов сетевой
инфраструктуры», в результате выполнения лабораторной работы №6, студент должен:
знать:
 управление конфигурации устройства,
 правила эксплуатации технических средств сетевой инфраструктуры,
 порядок технических осмотров, проверок и профилактических работ.

уметь:
 тестировать кабели и коммуникационные устройства,
 наблюдать за трафиком, выполнять операции резервного копирования и
восстановления данных.

Таким образом, в результате выполнения лабораторной работы студент должен закрепить


теоретические знания о парметрах физических портов коммутатора и приобрести
практические навыки по их настройки.

Краткие сведения из теории

Коммутатор функционирует на канальном уровне сетевой модели OSI и поэтому на его


физических портах реализуется Ethernet интерфейс. Коммутаторы серии 2960 обеспечивают
связь по протоколу 10/100 Fast Ethernet и 10/100/1000 Gigabit Ethernet.
Коммутатор поддерживает как полудуплексный, так и полнодуплексный режим передачи
данных.
В режиме полудуплекса он может либо получать, либо отправлять сообщения. В режиме
полного дуплекса можно и отправлять, и принимать сообщения одновременно.
Порт и подключенное устройство должны находиться в одинаковом режиме. Если режимы не
совпадают, возникает несоответствие дуплексных режимов, избыточное количество коллизий
и ухудшение качества связи.
Скорость и режим дуплекса можно либо задать вручную, либо порт коммутатора может
выполнить автоматическое согласование. Автоматическое согласование позволяет
коммутатору автоматически определить скорость и режим дуплекса устройства,
подключенного к порту. У коммутатора Cisco автоматический выбор включается по
умолчанию.
Параметры портов коммутатора, включая скорость и параметры порта дуплекса, можно
настроить с помощью интерфейса командной строки или WEB интерфейса.

Порядок выполнения лабораторной работы

1. подключите управляющий хост-узел к коммутатору по консольному порту, используя


интерфейс RS-232, согласно рисунка,

2. задайте имя коммутатору hostname hostname,


3. задайте пароль для привилегированного режима командой enable password
password,
4. задайте функцию шифрования пароля командой service password-
encryption,
5. задайте IP адрес коммутатору на основе сетевого IP адреса
172.16.20.1 255.255.0.0 с помощью следующих команд: interface vlan
vlan1, ip address ip-address subnet-mask, no shutdown,
6. задайте имя пользователя и пароль при подключении к коммутатору, используя
следующую команду: username name [privilege level]{password encryption-type
password} (уровень привилегий лежит в диапазоне от 0 до15: уровень1-
пользовательский режим, уровень15-привилегированный режим, тип шифрования: 0-
нешифрованный пароль, 7-скрытый пароль),
7. определите виртуальный интерфейс командой line vty 0 4 и
укажите командой login local, что пароль локальный,
8. подключитесь к коммутатору по протоколу Telnet,
9. выпишите число и тип интерфейсов командой show version,
10. просмотрите и запишите параметры портов по умолчанию командой show interfaces,
11. перейдите в режим глобальной конфигурации коммутатора,
12. задайте для портов 5-10 полудуплексный режим и скорость 10Mb/s командами:
 interface range interface-id (range- диапазон),
 speed number,
 duplex mode (режим);
13. проверьте сделанные настройки и сохраните в стартовом файле,
14. задайте назначение портов командой description string,
15. проверьте работоспособность функции Auto-MDIX путем подключения хост — узла к
0/5 порту коммутатора перекрестным кабелем и запишите состояние индикатора
порта,
16. настройте функцию Auto-MDIX для подключения рабочей станции к 0/5 порту
коммутатора командами interface interface_id, speed auto, duplex auto,
17. проверьте состояние функции Auto-MDIX командой show controllers ethernet-
controller interface-id phy для порта 0/5 и запишите,
18. подключайте последовательно рабочие станции к портам коммутатора 6-10
перекрестным кабелем и запишите результат,
19. проверьте состояние параметра flowcontrol командой show interfaces interface-id и
запишите.

Отчет по выполненной лабораторной работе

Отчет должен содержать:


 название и № лабораторной работы
 фамилия, имя студента, дату выполнения
 рисунок схемы
 команды настройки параметров портов
 команды проверки состояния функции Auto-MDIX и параметра flowcontrol

Контрольные вопросы

 Объясните назначение портов коммутатора


 Какие режимы передачи данных реализуются в коммутаторе
 Объясните функции параметра flowcontrol
 Объясните функции параметра Auto-MDIX

Лабораторная работа №7:


Управление таблицей MAC адресов коммутатора CISCO 3560-CX

Цель работы.
В соответствии с рабочей программой по дисциплине «Эксплуатация объектов сетевой
инфраструктуры», в результате выполнения лабораторной работы №7, студент должен:
знать:
 управление конфигурации устройства,
 правила эксплуатации технических средств сетевой инфраструктуры,
 порядок технических осмотров, проверок и профилактических работ.

уметь:
 тестировать кабели и коммуникационные устройства,
 наблюдать за трафиком, выполнять операции резервного копирования и
восстановления данных.

Таким образом, в результате выполнения лабораторной работы студент должен закрепить


теоретические знания о принципах управления таблицей MAC адресов и приобрести
практические навыки по ее настройки.

Краткие сведения из теории

Коммутатор передает трафик от источника к приемнику в соответствии с MAC-адресами.


Каждый коммутатор ведет таблицу MAC-адресов в высокопроизводительной памяти, которая
называется ассоциативной памятью. Коммутатор заново создает таблицу при каждой
активации, используя MAC-адреса источника входящих кадров и номера портов, через
которые они получены.
Коммутатор удаляет записи из таблицы MAC-адресов, если они не используются в течение
определенного периода времени. Этот период называется таймером устаревания (aging timer),
удаление записи называется устареванием.
В таблице MAC адресов содержит два типа записей: динамические и статические.
Динамические записи создаются автоматически при изучении передачи кадров через порты.
При перезагрузки коммутатора они удаляются.
Статические записи создаются в ручную и сохраняются постоянно. Эти записи можно
использовать для того чтобы привязать сетевой узел с данным MAC адресом к конкретному
порту. При попытке передачи кадра с другим MAC адресом через порт он отбрасывается.

Порядок выполнения лабораторной работы

1. запустите программу Cisco Packet Tracer,


2. подключите управляющий хост-узел к коммутатору по консольному порту, используя
интерфейс RS-232, согласно рисунка,
3. подключитесь к глобальному режиму коммутатора,

4. задайте имя коммутатору hostname hostname,


5. задайте пароль для привилегированного режима командой enable password
password,
6. задайте функцию шифрования пароля командой service password-
encryption,
7. задайте IP адрес коммутатору на основе сетевого IP адреса
192.168.2.1 255.255.255.0 с помощью следующих команд: interface
vlan vlan1, ip address ip-address subnet-mask, no shutdown,
8. задайте имя пользователя и пароль при подключении к коммутатору, используя
следующую команду: username name [privilege level]{password encryption-type
password} (уровень привилегий лежит в диапазоне от 0 до15: уровень1-
пользовательский режим, уровень15-привилегированный режим, тип шифрования: 0-
нешифрованный пароль, 7-скрытый пароль),
9. определите виртуальный интерфейс командой line vty 0 4 и
укажите командой login local, что пароль локальный,
10. подключитесь к коммутатору по протоколу Telnet,
11. просмотрите и запишите содержание таблицы MAC адресов show mac address-table,
12. Laptop1 подключите к интерфейсу Fa0/1, Laptop2 подключите к интерфейсу Fa0/2,
13. задайте рабочим станциям IP адрес на основе общего сетевого адреса 172.20.0.0
255.255.0.0,
14. перейдите в режим глобальной конфигурации коммутатора,
15. создайте статическую запись интерфейсе Fa0/1 коммутатора mac address-table static
mac-addr vlan vlan-id interface interface-id,
16. сохраните настройки в постоянной памяти,
17. проверьте наличие логической связи между двумя сетевыми узлами и запишите
результат,
18. просмотрите и запишите содержание таблицы MAC адресов show mac address-table,
19. подключите к интерфейсу с статической записью сетевой узел с динамическим MAC
адресом и проверьте наличие логической связи, запишите результат,
20. просмотрите число адресов show mac address-table count и запишите,
21. просмотрите динамические адреса show mac address-table dynamic, запишите,
22. просмотрите статические адреса show mac address-table static, запишите.

Отчет по выполненной лабораторной работе

Отчет должен содержать:


 название и № лабораторной работы
 фамилия, имя студента, дату выполнения
 рисунок схемы
 команды создания статической записи и просмотра таблицы MAC адресов
 команду проверки логической связи между сетевыми узлами

Контрольные вопросы

20. Объясните назначение таблицы MAC адресов


21. Чем отличается статическая запись от динамической
22. Какую функцию выполняет статическая запись

Лабораторная работа №8:


Создание Ethernet VLAN в коммутаторе CISCO 3560-CX

Цель работы.
В соответствии с рабочей программой по дисциплине «Эксплуатация объектов сетевой
инфраструктуры», в результате выполнения лабораторной работы №8, студент должен:
знать:
 управление конфигурации устройства,
 правила эксплуатации технических средств сетевой инфраструктуры,
 порядок технических осмотров, проверок и профилактических работ.

уметь:
 тестировать кабели и коммуникационные устройства,
 наблюдать за трафиком, выполнять операции резервного копирования и
восстановления данных.

Таким образом, в результате выполнения лабораторной работы студент должен закрепить


теоретические знания о принципах функционирования виртуальных локальных сетей и
приобрести практические навыки по их настройки.

Краткие сведения из теории

В коммутируемой сети для ограничения широковещательных рассылок и объединения узлов


в группы по интересам создаются виртуальные локальные сети (VLAN).

VLAN — это логический домен широковещательной рассылки, который может охватывать


несколько физических сегментов LAN. Она позволяет администратору объединять станции
по логической функции, проектной группе или приложению независимо от физического
положения пользователей.
Каждая VLAN функционирует как отдельная локальная сеть. VLAN может охватывать один
или несколько коммутаторов, что позволяет узлам работать так, как если бы они находились
в одном сегменте.
В коммутируемой сети устройство можно назначить во VLAN в соответствии с его
положением, MAC-адресом, IP-адресом или приложениями, которые оно использует чаще
всего. Администраторы задают принадлежность устройства VLAN статически или
динамически.

Порядок выполнения лабораторной работы

1. запустите программу Cisco Packet Tracer,


2. подключите управляющий хост-узел к коммутатору по консольному порту, используя
интерфейс RS-232, согласно рисунка,
3. подключитесь к глобальному режиму коммутатора,
4. задайте имя коммутатору hostname hostname,
5. задайте пароль для привилегированного режима командой enable password
password,
6. задайте функцию шифрования пароля командой service password-
encryption,
7. задайте IP адрес коммутатору на основе сетевого IP адреса
192.168.3.1 255.255.255.0 с помощью следующих команд: interface
vlan vlan1, ip address ip-address subnet-mask, no shutdown,
8. задайте имя пользователя и пароль при подключении к коммутатору, используя
следующую команду: username name [privilege level]{password encryption-type
password} (уровень привилегий лежит в диапазоне от 0 до15: уровень1-
пользовательский режим, уровень15-привилегированный режим, тип шифрования: 0-
нешифрованный пароль, 7-скрытый пароль),
9. определите виртуальный интерфейс командой line vty 0 4 и
укажите командой login local, что пароль локальный,
10. сохраните изменения в постоянной памяти,
11. задайте сетевым узлам IP адрес на основе сетевого IP адреса
10.0.0.0. 255.0.0.0,
12. проверьте наличие логической связи между сетевыми узлами,
подключенными к коммутатору по портам Fast Ethernet и запишите
результат,
13. подключитесь к коммутатору по протоколу Telnet,
14. просмотрите параметры VLAN по умолчанию show vlan и укажите к
какой VLAN относятся активные порты коммутатора,
15. создайте VLAN 10 для PCO и PC2, VLAN 20 для PC3,PC1, Printer0
командами:
 vlan vlan-id,
 name vlan-name,
 end.
16. присоедините к созданным VLAN статически — доступные порты командами:
 interface interface-id,
 switchport mode access,
 switchport access vlan vlan-id,
 end.
17. просмотрите VLAN интерфейсы командой show running-config interface interface-id,
18. просмотрите режим доступа для интерфейсов командой show interfaces interface-id
switchport,
19. просмотрите все VLAN коммутатора,
20. сохраните VLAN в стартовом файле.
21. проверьте наличие трафика внутри вланов и между вланами, запишите результат.

Отчет по выполненной лабораторной работе

Отчет должен содержать:


 название и № лабораторной работы
 фамилия, имя студента, дату выполнения
 рисунок схемы
 команды создания VLAN
 команды проверки VLAN
 результат проверки трафика между вланами и внутри вланов

Контрольные вопросы

23. Какую функцию выполняет VLAN


24. Какой тип портов используется для присоединения к влан
25. Как реализовать передачу трафика между различными вланами

Лабораторная работа №9:


Настройка транк портов на коммутаторе CISCO 3560-CX

Цель работы.
В соответствии с рабочей программой по дисциплине «Эксплуатация объектов сетевой
инфраструктуры», в результате выполнения лабораторной работы №9 , студент должен:
знать:
 управление конфигурации устройства,
 правила эксплуатации технических средств сетевой инфраструктуры,
 порядок технических осмотров, проверок и профилактических работ.

уметь:
 тестировать кабели и коммуникационные устройства,
 наблюдать за трафиком, выполнять операции резервного копирования и
восстановления данных.

Таким образом, в результате выполнения лабораторной работы студент должен закрепить


теоретические знания о назначении транк портов и приобрести практические навыки по их
настройки.

Краткие сведения из теории


Для портов коммутатора можно задать две разные роли. Порт может быть определен как порт
доступа или как транковый порт.
По умолчанию порты коммутатора работают в режиме доступа.

Порт доступа

Порт доступа принадлежит только одной VLAN. Как правило, отдельные устройства, такие
как компьютеры и серверы, подключаются к портам такого типа. Если несколько
компьютеров подключаются к одному порту доступа через концентратор, то все устройства,
подключенные к концентратору, будут принадлежать к одной VLAN.

Транковый порт

Транковый порт — это канал типа "точка-точка" между коммутатором и другим сетевым
устройством. Транковые подключения служат для передачи трафика нескольких VLAN через
один канал и обеспечивают им доступ ко всей сети. Транковые порты необходимы для
передачи трафика нескольких VLAN между устройствами при соединении двух
коммутаторов, коммутатора и маршрутизатора или коммутатора и сетевого адаптера узла с
поддержкой транкинга 802.1Q.

Без транковых портов для каждой VLAN требовалось бы отдельное соединение между
коммутаторами.

Порядок выполнения лабораторной работы

запустите программу Cisco Packet Tracer,


создайте физическую топологию сегментов сети, согласно рисунка,
подключитесь к коммутатору по консоли,
перейдите в режим глобальной конфигурации коммутатора и установите следующие
параметры:
 имя коммутатора hostname switch_3560-CX,
 дату и время командой clock set hh:mm:ss day month year,
 пароль для привилегированного режима командой enable password stop_killer,
 IP адрес коммутатору на основе сетевого IP адреса 10.0.0.0 255.0.0.0
с помощью
 следующих команд: interface vlan vlan1, ip address ip-address subnet-mask, no
shutdown,
задайте функцию шифрования пароля командой service password-encryption,
проверьте настройки и сохраните в постоянной памяти,
перейдите в режим глобальной конфигурации коммутатора,
создайте запись локальной базы данных пользователей, которую вы будете использовать для
подключения к коммутатору через SSH, пользователь должен обладать правами доступа
администратора username admin privilege 15 secret password,
настройте вход транспортировки таким образом, чтобы в каналах VTY были разрешены
только подключения по протоколу SSH, для аутентификации используйте локальную базу
данных:
line vty 0 15
transport input ssh
login local
exit
задайте имя домена для коммутатора ip domain-name domain_name,
создайте ключ шифрования RSA с использованием модуля 1024 бит crypto key generate rsa,
проверьте конфигурацию SSH,
задайте версию протокола ip ssh version 2,
установите время timeout 30с (по умолчанию 120с) и число попыток повторной
аутентификации 2 (по умолчанию 3, диапазон 0 - 5 ) для протокола SSH:
ip ssh timeout seconds,
ip ssh authentication-retries number,
проверьте конфигурацию SSH show ip ssh,
сохраните настройки в постоянной памяти,
настройте IP адрес хост — узлов исходя из общего сетевого IP адреса 172.20.1.0/24,
создайте три влана на основе портов доступа на каждом коммутаторе CISCO 2960
согласно рисунка, при этом порты физически должны находиться в разных коммутаторах,
просмотрите созданные влан,
настройте dns сервер для разрешения доменного имени web сервера в его IP адрес,
проверьте наличие трафика внутри влан и между ними без магистральных портов на
коммутаторах, запишите результат,
перейдите в режим глобальной конфигурации коммутаторов,
создайте trunk порты на коммутаторах доступа:
interface interface-id,
switchport mode {dynamic {auto |desirable} | trunk}, где
режиме desirable — порт становится транковым, если порт на другой стороне
находится в режиме trunk, desirable или auto,
режиме auto — порт становится транковым, если порт на другой стороне находится в
режиме trunk или desirable,
режим trunk — порт всегда становится транковым
end,
просмотрите параметры транк портов коммутаторов show interfaces interface-id trunk,
просмотрите параметры switchport на интерфейсах show interfaces interface-id switchport,
сохраните настройки в постоянной памяти,
установите связь между Laptop0 и коммутатором CISCO 3560-CX по протоколу SSH,
перейдите в режим глобальной конфигурации коммутатора,
создайте trunk порты на многоуровневом коммутаторе:
interface interface-id,
switchport mode {dynamic {auto |desirable} | trunk}, где
режиме desirable — порт становится транковым, если порт на другой стороне
находится в режиме trunk, desirable или auto,
режиме auto — порт становится транковым, если порт на другой стороне находится в
режиме trunk или desirable,
режим trunk — порт всегда становится транковым
end,
просмотрите параметры транк портов коммутатора show interfaces interface-id trunk,
просмотрите параметры switchport на интерфейсах show interfaces interface-id switchport,
сохраните настройки в постоянной памяти,
проверьте наличие трафика внутри влан и между ними, запишите результат,
проверьте получение html страницы с WEB сервера с заданной влан, запишите результат,
представьте отчет.

Отчет по выполненной лабораторной работе

Отчет должен содержать:


 название и № лабораторной работы
 фамилия, имя студента, дату выполнения
 рисунок схемы
 команды создания транк портов
 команды просмотра параметров транк портов
 результат проверки трафика внутри вланов
 результат проверки трафика между влан
 результат доступа к web сервера

Контрольные вопросы

26. Какую функцию выполняют транк порты


27. Какие команды используются для создания транк портов
28. Какие параметры согласования применяются при настройке транк портов

Лабораторная работа №10:


Проверка реагирования на нарушения безопасности порта на основе произвольной
привязки к нему MAC адресов коммутатора CISCO 3560-СX

Цель работы.
В соответствии с рабочей программой по дисциплине «Эксплуатация объектов сетевой
инфраструктуры», в результате выполнения лабораторной работы №10, студент должен:
знать:
 управление конфигурации устройства,
 правила эксплуатации технических средств сетевой инфраструктуры,
 порядок технических осмотров, проверок и профилактических работ.

уметь:
 тестировать кабели и коммуникационные устройства,
 наблюдать за трафиком, выполнять операции резервного копирования и
восстановления данных.

Таким образом, в результате выполнения лабораторной работы студент должен закрепить


теоретические знания о принципах произвольной привязки MAC адресов и приобрести
практические навыки по выполнению привязки.

Краткие сведения из теории

Различают следующие типы защищённых адресов:


Статическая защита МАС-адреса — МАС-адреса, которые настроены на порте
вручную с помощью команды режима конфигурации интерфейса. МАС-адреса,
настроенные таким образом, хранятся в таблице адресов и добавляются в текущую
конфигурацию коммутатора.
 Динамическая защита МАС-адреса — МАС-адреса, которые получены
динамически и хранятся в таблице адресов. MAC-адреса, настроенные таким образом,
удаляются при перезагрузке коммутатора.
 Защита МАС-адреса на основе привязки — МАС-адреса, которые могут быть
получены динамически или настроены вручную. Они хранятся в таблице адресов и
добавляются в текущую конфигурацию.
Для того чтобы настроить интерфейс для преобразования динамически полученных МАС-
адресов в прикреплённые защищённые МАС-адреса и добавить их в текущую
конфигурацию, необходимо включить функцию sticky learning (распознавание
прикреплённых адресов).
Интерфейс порта безопасности можно настроить на один из трёх режимов реагирования на
нарушение безопасности, который определяет действия, предпринимаемые в случае
нарушения.
Restrict (ограничение) — когда количество защищённых МАС-адресов достигает предела
разрешённых адресов для порта, пакеты с неизвестными адресами источника отбрасываются,
пока не будет удалено достаточное количество защищённых МАС-адресов или не будет
увеличено максимальное количество разрешённых адресов. Для этого режима предусмотрено
уведомление о нарушении безопасности.

Порядок выполнения лабораторной работы

запустите программу Cisco Packet Tracer,


подключите управляющий хост-узел к коммутатору по консольному порту, используя
интерфейс RS-232, согласно рисунка,

перейдите в режим глобальной конфигурации коммутатора и установите следующие


параметры:
 имя коммутатора hostname switch_3560-CX,
 дату и время командой clock set hh:mm:ss day month year,
 пароль для привилегированного режима командой enable password stop_killer,
 IP адрес коммутатору на основе сетевого IP адреса 172.25.0.0
255.255.0.0 с помощью
 следующих команд: interface vlan vlan1, ip address ip-address subnet-mask, no
shutdown,
задайте функцию шифрования пароля командой service password-encryption,
проверьте настройки и сохраните в постоянной памяти,
перейдите в режим глобальной конфигурации коммутатора,
создайте запись локальной базы данных пользователей, которую вы будете использовать для
подключения к коммутатору через SSH, пользователь должен обладать правами доступа
администратора username admin privilege 15 secret password,
настройте вход транспортировки таким образом, чтобы в каналах VTY были разрешены
только подключения по протоколу SSH, для аутентификации используйте локальную базу
данных:
line vty 0 15
transport input ssh
login local
exit
задайте имя домена для коммутатора ip domain-name domain_name,
создайте ключ шифрования RSA с использованием модуля 1024 бит crypto key generate rsa,
проверьте конфигурацию SSH,
задайте версию протокола ip ssh version 2,
установите время timeout 30с (по умолчанию 120с) и число попыток повторной
аутентификации 2 (по умолчанию 3, диапазон 0 - 5 ) для протокола SSH:
ip ssh timeout seconds,
ip ssh authentication-retries number,
проверьте конфигурацию SSH show ip ssh,
сохраните настройки в постоянной памяти,
подключитесь к коммутатору по протоколу SSH,
просмотрите настройки порта безопасности по умолчанию командой show port-security и
запишите,
войдите в глобальный конфигурационный режим коммутатора,
задайте интерфейс для которого будет настраиваться порт безопасности interface interface-id
(Fa0/4),
установите режим порта для данного интерфейса switchport mode access,
сделайте доступным порт безопасности на интерфейсе switchport port-security,
установите максимальное число безопасных MAC адресов 4 на интерфейсе switchport port-
security maximum value,
укажите режим реагирования на нарушения безопасности порта switchport port-security
violation restrict,
включите режим режим прикрепления MAC адресов к заданному интерфейсу switchport
port-security mac-address sticky,
просмотрите параметры настройки порта безопасности для заданного интерфейса и
сохраните в памяти,
последовательно подключайте к порту безопасности рабочие станции и определите момент
нарушения безопасности,
запишите число нарушений безопасности show port-security interface interface-id и MAC
адрес станции, вызвавшей нарушение, режим реагирования на нарушение,
просмотрите таблицу нарушений show port-security,
представьте отчет.

Отчет по выполненной лабораторной работе

Отчет должен содержать:


 название и № лабораторной работы
 фамилия, имя студента, дату выполнения
 рисунок схемы
 команды создания порта безопасности
 команду прикрепления MAC адреса к интерфейсу
 команду задания реагирования на нарушения безопасности порта
 команду определения числа нарушений

Контрольные вопросы

29. Перечислите типы защищенных MAC адресов


30. Когда возникает нарушение безопасности на заданном порту коммутатора
31. Какая команда задает режим прикрепления MAC адресов

Лабораторная работа №11:


Проверка реагирования на нарушения безопасности порта на основе конкретной
привязки к нему MAC адресов рабочих станций коммутатора CISCO 3560-СX
Цель работы.
В соответствии с рабочей программой по дисциплине «Эксплуатация объектов сетевой
инфраструктуры», в результате выполнения лабораторной работы №11, студент должен:
знать:
 управление конфигурации устройства,
 правила эксплуатации технических средств сетевой инфраструктуры,
 порядок технических осмотров, проверок и профилактических работ.

уметь:
 тестировать кабели и коммуникационные устройства,
 наблюдать за трафиком, выполнять операции резервного копирования и
восстановления данных.

Таким образом, в результате выполнения лабораторной работы студент должен закрепить


теоретические знания о принципах конкретной привязки MAC адресов и приобрести
практические навыки по выполнению привязки.

Краткие сведения из теории

Различают следующие типы защищённых адресов:


Статическая защита МАС-адреса — МАС-адреса, которые настроены на порте
вручную с помощью команды режима конфигурации интерфейса. МАС-адреса,
настроенные таким образом, хранятся в таблице адресов и добавляются в текущую
конфигурацию коммутатора.
 Динамическая защита МАС-адреса — МАС-адреса, которые получены
динамически и хранятся в таблице адресов. MAC-адреса, настроенные таким образом,
удаляются при перезагрузке коммутатора.
 Защита МАС-адреса на основе привязки — МАС-адреса, которые могут быть
получены динамически или настроены вручную. Они хранятся в таблице адресов и
добавляются в текущую конфигурацию.
Для того чтобы настроить интерфейс для преобразования динамически полученных МАС-
адресов в прикреплённые защищённые МАС-адреса и добавить их в текущую
конфигурацию, необходимо включить функцию sticky learning (распознавание
прикреплённых адресов).

Интерфейс порта безопасности можно настроить на один из трёх режимов реагирования на


нарушение безопасности, который определяет действия, предпринимаемые в случае
нарушения.
Restrict (ограничение) — когда количество защищённых МАС-адресов достигает предела
разрешённых адресов для порта, пакеты с неизвестными адресами источника отбрасываются,
пока не будет удалено достаточное количество защищённых МАС-адресов или не будет
увеличено максимальное количество разрешённых адресов. Для этого режима предусмотрено
уведомление о нарушении безопасности.

Порядок выполнения лабораторной работы

запустите программу Cisco Packet Tracer,


подключите управляющий хост-узел к коммутатору по консольному порту, используя
интерфейс RS-232, согласно рисунка,
перейдите в режим глобальной конфигурации коммутатора и установите следующие
параметры:
 имя коммутатора hostname switch_3560-CX,
 дату и время командой clock set hh:mm:ss day month year,
 пароль для привилегированного режима командой enable password stop_killer,
 IP адрес коммутатору на основе сетевого IP адреса 172.25.0.0
255.255.0.0 с помощью
 следующих команд: interface vlan vlan1, ip address ip-address subnet-mask, no
shutdown,
задайте функцию шифрования пароля командой service password-encryption,
проверьте настройки и сохраните в постоянной памяти,
перейдите в режим глобальной конфигурации коммутатора,
создайте запись локальной базы данных пользователей, которую вы будете использовать для
подключения к коммутатору через SSH, пользователь должен обладать правами доступа
администратора username admin privilege 15 secret password,
настройте вход транспортировки таким образом, чтобы в каналах VTY были разрешены
только подключения по протоколу SSH, для аутентификации используйте локальную базу
данных:
line vty 0 15
transport input ssh
login local
exit
задайте имя домена для коммутатора ip domain-name domain_name,
создайте ключ шифрования RSA с использованием модуля 1024 бит crypto key generate rsa,
проверьте конфигурацию SSH,
задайте версию протокола ip ssh version 2,
установите время timeout 30с (по умолчанию 120с) и число попыток повторной
аутентификации 2 (по умолчанию 3, диапазон 0 - 5 ) для протокола SSH:
ip ssh timeout seconds,
ip ssh authentication-retries number,
проверьте конфигурацию SSH show ip ssh,
сохраните настройки в постоянной памяти,
подключитесь к коммутатору по протоколу SSH,
просмотрите настройки порта безопасности по умолчанию командой show port-security и
запишите,
войдите в глобальный конфигурационный режим коммутатора,
задайте интерфейс для которого будет настраиваться порт безопасности interface interface-id
(Fa0/8),
установите режим порта для данного интерфейса switchport mode access,
сделайте доступным порт безопасности на интерфейсе switchport port-security,
установите максимальное число безопасных MAC адресов 4 на интерфейсе switchport port-
security maximum value,
укажите режим реагирования на нарушения безопасности порта switchport port-security
violation restrict,
укажите конкретные MAC адреса рабочих станций, которые можно подключать к порту
безопасности командой switchport port-security mac-address mac-address (4 MAC адреса),
включите режим режим прикрепления MAC адресов к заданному интерфейсу switchport
port-security mac-address sticky,
просмотрите параметры настройки порта безопасности для заданного интерфейса и
сохраните в памяти,
последовательно подключайте к порту безопасности рабочие станции c конкретным
заданным MAC адресом и произвольным MAC адресом,
определите момент нарушения безопасности,
запишите число нарушений безопасности show port-security interface interface-id и MAC
адрес станции, вызвавшей нарушение, режим реагирования на нарушение,
просмотрите таблицу нарушений show port-security,
представьте отчет.

Отчет по выполненной лабораторной работе

Отчет должен содержать:


 название и № лабораторной работы
 фамилия, имя студента, дату выполнения
 рисунок схемы
 команды создания порта безопасности
 команду задания MAC адресов рабочих станций, имеющих доступ к порту
безопасности
 команду прикрепления MAC адреса к интерфейсу
 команду задания реагирования на нарушения безопасности порта
 команду определения числа нарушений

Контрольные вопросы

32. Перечислите типы защищенных MAC адресов


33. Как реагирует на нарушение безопасности порта коммутатор
34. Когда возникает нарушение порта безопасности в случае задания конкретных MAC
адресов рабочих станций, имеющих доступ к порту безопасности
Лабораторная работа №12:
Проверка настройка порта безопасности для VLAN на коммутаторе CISCO 3560-СX

Цель работы.
В соответствии с рабочей программой по дисциплине «Эксплуатация объектов сетевой
инфраструктуры», в результате выполнения лабораторной работы №12, студент должен:
знать:
 управление конфигурации устройства,
 правила эксплуатации технических средств сетевой инфраструктуры,
 порядок технических осмотров, проверок и профилактических работ.

уметь:
 тестировать кабели и коммуникационные устройства,
 наблюдать за трафиком, выполнять операции резервного копирования и
восстановления данных.

Таким образом, в результате выполнения лабораторной работы студент должен закрепить


теоретические знания о принципах конкретной привязки MAC адресов и приобрести
практические навыки по выполнению привязки.

Краткие сведения из теории

Различают следующие типы защищённых адресов:


Статическая защита МАС-адреса — МАС-адреса, которые настроены на порте
вручную с помощью команды режима конфигурации интерфейса. МАС-адреса,
настроенные таким образом, хранятся в таблице адресов и добавляются в текущую
конфигурацию коммутатора.
 Динамическая защита МАС-адреса — МАС-адреса, которые получены
динамически и хранятся в таблице адресов. MAC-адреса, настроенные таким образом,
удаляются при перезагрузке коммутатора.
 Защита МАС-адреса на основе привязки — МАС-адреса, которые могут быть
получены динамически или настроены вручную. Они хранятся в таблице адресов и
добавляются в текущую конфигурацию.
Для того чтобы настроить интерфейс для преобразования динамически полученных МАС-
адресов в прикреплённые защищённые МАС-адреса и добавить их в текущую
конфигурацию, необходимо включить функцию sticky learning (распознавание
прикреплённых адресов).

Интерфейс порта безопасности можно настроить на один из трёх режимов реагирования на


нарушение безопасности, который определяет действия, предпринимаемые в случае
нарушения.
Restrict (ограничение) — когда количество защищённых МАС-адресов достигает предела
разрешённых адресов для порта, пакеты с неизвестными адресами источника отбрасываются,
пока не будет удалено достаточное количество защищённых МАС-адресов или не будет
увеличено максимальное количество разрешённых адресов. Для этого режима предусмотрено
уведомление о нарушении безопасности.

Порядок выполнения лабораторной работы


запустите программу Cisco Packet Tracer,
подключите управляющий хост-узел к коммутатору по консольному порту, используя
интерфейс RS-232, согласно рисунка,

перейдите в режим глобальной конфигурации коммутатора и установите следующие


параметры:
 имя коммутатора hostname switch_3560-CX,
 дату и время командой clock set hh:mm:ss day month year,
 пароль для привилегированного режима командой enable password stop_killer,
 IP адрес коммутатору на основе сетевого IP адреса 172.25.0.0
255.255.0.0 с помощью
 следующих команд: interface vlan vlan1, ip address ip-address subnet-mask, no
shutdown,
задайте функцию шифрования пароля командой service password-encryption,
проверьте настройки и сохраните в постоянной памяти,
перейдите в режим глобальной конфигурации коммутатора,
создайте запись локальной базы данных пользователей, которую вы будете использовать для
подключения к коммутатору через SSH, пользователь должен обладать правами доступа
администратора username admin privilege 15 secret password,
настройте вход транспортировки таким образом, чтобы в каналах VTY были разрешены
только подключения по протоколу SSH, для аутентификации используйте локальную базу
данных:
line vty 0 15
transport input ssh
login local
exit
задайте имя домена для коммутатора ip domain-name domain_name,
создайте ключ шифрования RSA с использованием модуля 1024 бит crypto key generate rsa,
проверьте конфигурацию SSH,
задайте версию протокола ip ssh version 2,
установите время timeout 30с (по умолчанию 120с) и число попыток повторной
аутентификации 2 (по умолчанию 3, диапазон 0 - 5 ) для протокола SSH:
ip ssh timeout seconds,
ip ssh authentication-retries number,
проверьте конфигурацию SSH show ip ssh,
сохраните настройки в постоянной памяти,
подключитесь к коммутатору по протоколу SSH,
просмотрите настройки порта безопасности по умолчанию командой show port-security и
запишите,
войдите в глобальный конфигурационный режим коммутатора,
задайте интерфейс для которого будет настраиваться порт безопасности interface interface-id
(Fa0/8),
установите режим порта для данного интерфейса switchport mode access,
сделайте доступным порт безопасности на интерфейсе switchport port-security,
установите максимальное число безопасных MAC адресов 4 на интерфейсе switchport port-
security maximum value,
укажите режим реагирования на нарушения безопасности порта switchport port-security
violation restrict,
укажите конкретные MAC адреса рабочих станций, которые можно подключать к порту
безопасности командой switchport port-security mac-address mac-address (4 MAC адреса),
включите режим режим прикрепления MAC адресов к заданному интерфейсу switchport
port-security mac-address sticky,
просмотрите параметры настройки порта безопасности для заданного интерфейса и
сохраните в памяти,
последовательно подключайте к порту безопасности рабочие станции c конкретным
заданным MAC адресом и произвольным MAC адресом,
определите момент нарушения безопасности,
запишите число нарушений безопасности show port-security interface interface-id и MAC
адрес станции, вызвавшей нарушение, режим реагирования на нарушение,
просмотрите таблицу нарушений show port-security,
представьте отчет.

Отчет по выполненной лабораторной работе

Отчет должен содержать:


 название и № лабораторной работы
 фамилия, имя студента, дату выполнения
 рисунок схемы
 команды создания порта безопасности
 команду задания MAC адресов рабочих станций, имеющих доступ к порту
безопасности
 команду прикрепления MAC адреса к интерфейсу
 команду задания реагирования на нарушения безопасности порта
 команду определения числа нарушений

Контрольные вопросы

35. Перечислите типы защищенных MAC адресов


36. Как реагирует на нарушение безопасности порта коммутатор
37. Когда возникает нарушение порта безопасности в случае задания конкретных MAC
адресов рабочих станций, имеющих доступ к порту безопасности

Лабораторная работа №13:


Фильтрация трафика с использованием стандартного списка контроля доступа на
маршрутизаторе CISCO 2801

Цель работы.
В соответствии с рабочей программой по дисциплине «Эксплуатация объектов сетевой
инфраструктуры», в результате выполнения лабораторной работы №13, студент должен:
знать:
 управление конфигурации устройства,
 правила эксплуатации технических средств сетевой инфраструктуры,
 порядок технических осмотров, проверок и профилактических работ.
уметь:
 тестировать кабели и коммуникационные устройства,
 наблюдать за трафиком, выполнять операции резервного копирования и
восстановления данных.

Таким образом, в результате выполнения лабораторной работы студент должен закрепить


теоретические знания о принципах фильтрации трафика на основе стандартного ACL и уметь
настраивать его параметры.

Краткие сведения из теории

В зависимости от конфигурации ACL-списки выполняют следующие задачи:


 ограничивают сетевого трафика для повышения производительности сети,
 ограничивают доставку обновлений маршрутизации,
 обеспечивают базовый уровень безопасности в отношении доступа к сети,
 осуществляют фильтрацию трафика на основе типа трафика,
 осуществляют сотировку узлов в целях разрешения или запрета доступа к сетевым
службам.

По виду трафика ACL списки делятся на два типа:


 входящие ACL-списки — входящие пакеты обрабатываются перед отправкой на
исходящий интерфейс,
 исходящие ACL-списки — входящие пакеты маршрутизируются на исходящий
интерфейс, а затем обрабатываются исходящим списком контроля доступа.

Последняя запись любого ACL списка реализует блокировку всего трафика (неявный запрет).

Стандартные ACL-списки используются для разрешения или отклонения прохождения


трафика только на основе IPv4-адресов источника.
Каждый такой список должен иметь номер, находящийся в следующих диапазонах 1-99,
1300-1999.
Стандартные ACL-списки необходимо размещать максимально близко к сети назначения.
Это позволяет трафику достичь всех остальных сетей, кроме сети с фильтрацией пакетов.

Порядок выполнения лабораторной работы


запустите программу Cisco Packet Tracer,
создайте схему сети, представленную на рисунке,
в маршрутизаторы поместите модуль HWIC-2T,
настройте доступ к маршрутизаторам по протоколу SSH,
задайте IP адреса сетевым узлам локальных IP – сегментов и интерфейсам Fe0/0, Fe0/1
маршрутизатора Router0 исходя из сетевых IP адресов 192.168.20.0/24 и 192.168.30.0/24,
задайте IP адреса последовательным интерфейсам маршрутизаторов Router0,Router1,Router2
исходя из сетевых IP адресов 200.120.50.0/24 и 195.150.45.0/24,
установите тактовую частоту 4ггц для устройства DCE (маршрутизаторы Router0 и Router1),
задайте IP адреса сетевым узлам локальных IP – сегментов и интерфейсам Fe0/0, Fe0/1
маршрутизатора Router1 исходя из сетевых IP адресов 172.20.20.0/16 и 172.15.30.0/16 (сеть с
WEB - сервером),
активируйте все интерфейсы маршрутизаторов,
проверьте наличие логической связи внутри IP – сегментов и запишите результат,
активируйте протокол HTTP на WEB – сервере,
настройте статические маршруты между маршрутизаторами Router0 – Router2 и Router2 –
Router1 для реализации трафика между сетевыми узлами локальных IP – сегментов и WEB –
сервером.
запретите трафик из сети 192.168.30.0/24 в сеть 172.15.30.0/16 для запрета доступа к WEB –
серверу путем фильтрации на основе стандартных ACL – списков, а остальным локальным
сетям разрешите на маршрутизаторе Router1:
задайте ACL список access-list access-list-number {permit|deny} {host|source source-
wildcard|any}, где
host- применяется для маски 0.0.0.0; эта маска указывает, что должны совпадать все биты
IPv4-адреса, или совпадает только один узел,
any - применяется для IP-адреса и маски 255.255.255.255; эта маска указывает игнорировать
весь IPv4-адрес или принять любой адрес,
укажите интерфейс (Se0/3/0), присоединяемый к ACL – списку на маршрутизаторе Router1
interface <interface>,
укажите тип интерфейса ip access-group number {in|out},
задайте комментарий для ACL – списков(назначение ACL – списков) access-list access-list-
number remark remark,
просмотрите ACL – списки show access-lists access-list-name и сохраните в стартовом
файле,
проверьте правильность применения списков к заданному интерфейсу командой
show IP interface <interface>,
проверьте функционирование ACL – списков и запишите результат,
просмотрите таблицу маршрутизации и запишите типы маршрутов,
просмотрите время задержки прохождения пакетов через маршрутизатор Router1 командой
tracert и запишите результат.

Отчет по выполненной лабораторной работе

Отчет должен содержать:


 название и № лабораторной работы
 фамилия, имя студента, дату выполнения
 команды настроек последовательных и Fast Ethernet портов
 команды настроек IP адресов сетевых узлов
 команды настроек таблиц маршрутизации
 команды настроек и просмотра стандартных ACL – списков
 время задержки прохождения пакетов через маршрутизатор Router1
 результаты обращения к WEB серверу

Контрольные вопросы

 Объясните назначение ACL - списков


 Дайте понятие стандартных ACL - списков
 Какие команды реализует ACL - списки
 Как просмотреть параметры ACL - списков