因此,我们研究了如何在计算机上建立网络。 至于交换机,让我提醒您,它是OSI模型的第二级设备,我们必须配置IP地址,该地址属于第三级。 为此,我们使用IP地址管理并转到VLAN1接口。 我们将在以下视频教程之一中详细讨论VLAN,现在只需记住新交换机“开箱即用”已将所有端口配置为使用VLAN1。 因此,为了将IP地址10.1.1.10分配给交换机,我们转到此接口。
如果要分配默认网关的IP地址,则必须使用ip default gateway 10.1.1.100命令。
这是必需的,以便我们的交换机可以与另一个网络通信。 如果返回到交换接口的工作配置,我们将看到以下行:
接口Vlan1
ip地址10.1.1.10 255.255.255.0
这意味着IP地址的前三个八位字节为10.1.1。的任何设备都将使用默认网关地址10.1.1.100连接到另一个网络。 这是分配默认网关地址的方式。
让我们考虑如何断开交换机的任何端口。 现在,我犯了一个错误,并将尝试从中受益。 如果我们有路由器,则其名称以f0 / 0或g0 / 0开头,而交换机的名称始终以f0 / 1或g0 / 1开头,具体取决于使用的是FastEthernet还是GigabitEthernet。 在本例中,这是FastEthernet,因此我们使用开关名称f0 / 1。
如您所知,路由器是思科发明的,它决定路由器编号始终以f0 / 0开头。 因此,如果要禁用此端口,只需键入shutdown命令,然后物理禁用FastEthernet 0/1端口。 如果要再次启用此端口,请输入no shutdown命令。 如您所见,在第一种情况下,我们收到一条消息,指出端口的状态为“管理上关闭”,在第二种情况下,我们收到的消息是端口状态为“开启”。
现在,我将再次断开端口连接,并给命令do sh ip interface br-这是我最喜欢的命令之一,这使得可以快速查看所有交换机接口的当前状态。
我们看到,FastEthernet0 / 1接口在管理上被禁用。 从管理上来说,该接口已使用shutdown命令禁用。 在右列中,我们看到该接口的协议也被禁用并且处于关闭状态,但是,当该端口上出现流量时,它将立即进入打开状态。
FastEthernet0 / 4接口的状态也显示为关闭,即目前处于打开状态,但不起作用。 FastEthernet0 / 2和FastEthernet0 / 3接口处于打开状态,因为如果您查看我们网络的逻辑拓扑,则可以看到PC2和PC3已连接到它们。 在图中,这些交换机端口标有绿点,而连接到集线器的管理断开连接的端口标有红点。
现在,我将输入no shutdown命令,您将看到几秒钟后红点如何改变颜色,表明该端口已打开。 因此,我们进行了关机和取反命令设置。 我们还有最后一项设置-保存“保存配置”开关的配置。 为此,我们输入wr(wright)命令并保存设置。 接下来,我们将这些设置复制到启动开关配置文件中。
现在让我们回到我们的网络布局,那里有一个大问题。 了解网络的人都知道集线器和交换机之间的区别。
如果PC2连接到交换机或与PC3通信,则流量仅在这两个设备-PC2和PC3之间流动。 如果PC0通过集线器与集线器或PC1进行通信,则流量不仅会在这两台计算机之间流动,因为集线器会将此流量的副本发送到交换机。
假设您是坐在PC1上的网络管理员,并且正尝试使用通过集线器到Telnet终端的远程访问协议连接到交换机。 但是,坐在PC0上的黑客可以查看定向到交换机的所有流量,因为集线器会将该流量的副本发送到他的计算机。
由于您使用用户名和密码连接到交换机,因此黑客可以使用免费的Wireshark软件,该软件可让您分析流量并获取凭据。 因此,我们在创建现代网络时尽量不使用集线器。 当前,几乎所有公司都已将集线器替换为交换机。
防止流量通过集线器泄漏的一种方法可能是使用基于SSH协议或“安全外壳”的另一种传输技术。 该协议类似于Telnet,并且使用流量加密以相同的方式,但以更安全的方式进行。
考虑这个例子。 国防部想要将一些秘密设备运到该国的另一端时,它会使用卡车进行运输。 这辆卡车必须在有护卫的情况下通过大门,护卫向驾驶员询问文件。 在我们的例子中,这是用户名和密码。 一旦警卫收到正确的密码,她就会想念卡车。 这就是Telnet协议的工作方式,但是我们的卡车将货物装在敞开的车身中,并且在前往目的地时,任何人都可以看到其中的内容。 但是,我们不希望任何人知道我们正在运输的货物,我们需要关闭卡车。 这意味着任何看见他的人将无法找出背后的东西。 SSH就是这样做的-它保护来自外部的流量内容。
Telnet对于受信任的网络已经足够好,当您联系认识的收件人时,使用授权进入网络,发送和接收消息。 但是他无法保护设法渗透到您网络中的黑客的邮件内容。 当消息只能由两个人(发送者和接收者)解密时,SSH提供这种连接。 这只能由预定此消息的设备来完成。
因此,如果我们使用SSH协议在PC1和交换机之间交换消息,则集线器还将其复制到其他设备,但这绝不会帮助PC0的黑客,因为他将无法对其进行解密。 就是说,他看到了我们的卡车,却无法发现密闭箱中装的是哪种货物。 让我们看看什么是SSH协议。
为了使用此协议,您需要进行6项设置。 第一种是设置主机名,但是由于我们已经为切换完成了主机名,因此您可以立即进行第二种设置-设置域名。 为此,请在切换命令窗口中输入ip域名Nwking.org命令,但是您可以使用任何其他名称。 然后,我们需要确保安全密钥的安全性,即使用crypto key命令启用加密,然后使用crypto key generate命令激活加密密钥生成功能。
我将在以下视频中详细讨论SSH协议的操作,因此请继续关注有关Internet安全性的更多有趣事情。 您会看到,使用此命令后,消息“生成RSA密钥”出现在行中,其中RSA是网络领域中最常见的加密标准之一。
按“ Enter”后,屏幕上会显示一条消息,提示您可以将会话加密密钥的长度从360位选择为2048位,并且创建512位密钥可能需要几分钟。 让我们分配一个1024位的密钥,这是一个相当安全的密钥。
我想指出一个1024位的密钥比512位的密钥可靠很多倍,因此不要感到困惑,因为它只有2倍大。 这只是生成会话密钥所需的源位数,密钥本身的大小将比该数目大很多倍。
因此,我们有了主机名,域名和加密密钥,现在我们需要使SSH版本2功能可用,该安全协议的第二个版本与SSH的第一个版本不兼容。 ip ssh version 2命令用于此操作,这意味着所有通过SSH到达的流量都将使用第二个版本。
接下来,我们需要创建用户-创建用户。 这可以通过输入以下行来完成:用户名Imran密码ssh123。 现在,您需要启用交换机以使用SSH。 我们知道SSH和Telnet使用vty线路,因此我们输入line vty 0 15命令,因为我们要使用所有16条通信线路。
要为此交换机禁用SSH或Telnet协议,您需要使用transport input命令,此后,系统将显示来自4个可能选项的提示:
全部-使用两种协议的能力;
无-禁用两种协议;
ssh-使用SSH TCP / IP协议;
telnet-使用Telnet TCP / IP协议。
如果输入transport input none命令,则将拒绝通过SSH和Telnet进行的任何通信,并且将禁用从0到15的所有vty线路。
如果我再次返回PC0命令行终端,退出交换机设置并尝试通过Telnet连接,那么我将看到连接已关闭。 原因是我们禁止使用任何通信协议。 现在,如果要使用Telnet,我将在交换机设置窗口中输入transport input telnet命令。
如果在此之后我们再次尝试通过计算机与交换机联系,并在命令行终端中键入telnet 10.1.1.10,则将建立连接,我们将看到一个欢迎标语和一个建议输入密码以进行用户验证的建议。
我们做了什么? 作为安全措施,我们禁止使用Telnet流量,仅允许使用SSH流量。 如果现在在交换机设置中输入transport input ssh命令并尝试通过计算机登录,则系统将拒绝提供访问。 在这种情况下,您需要在PC0命令提示符窗口中键入ssh-这意味着用户希望使用SSH协议建立通信。
之后,命令行上将显示一个模板,用于用户必须输入的数据格式:SSH-1个用户名目标。
我必须输入要与之通信的设备的协议版本,用户名和IP地址,因此我输入以下行:
ssh -1 Imran 10.1.1.10
此后,将显示“打开”消息,指示目标设备接口已打开,提示您输入密码。 我输入密码ssh123,但由于某些原因,它不被接受。 事实是我犯了一个错误,这很好,因为有了这个我可以将您的注意力集中在另一个必要的步骤上。
让我们尝试找出发生了什么。 我输入了密码ssh123,该密码先前已输入到交换机设置中。 让我们再次看一下交换机的当前配置,以了解我设置了哪种密码。
我们看到在vty 0行上运行了连接,该行的密码不是ssh123,而是telnet。 如果在计算机的命令行上输入此密码,则可以进入开关设置。 为什么不接受ssh123密码? 全部与登录命令有关。 这意味着您只能使用先前设置的密码登录,即,您必须使用上面的telnet词作为密码。 但是,如果要使用用户密码,则必须使用login local命令而不是login命令。
现在,我们看到包含登录命令的所有设置都已更改为本地登录,这意味着:“使用本地用户名和密码”。 本地用户名和密码在用户名Imran密码ssh123行中。 我想检查Packet Tracer是否支持本地命令,并查看它支持什么-此命令意味着检查本地密码。
在以下有关Internet安全性的视频教程中,我将展示使用Cisco特殊的访问控制协议可以使用户登录设置更加容易。 即使使用不用于路由器和交换机且旨在与其他设备一起使用的Cisco Identity Services Engine(ISE),我们也必须确保这些设备可以使用本地用户名和密码访问中央数据库。
因此,在切换命令行终端中,我们使用了login local命令,该命令告诉系统必须使用本地用户名和密码。 现在,我将在计算机的命令行上输入Exit命令,并尝试使用ssh123密码重新连接到交换机。 如您所见,现在它可以工作了。
今天,我们研究了如何在实践中使用SSH协议。 我想指出的是,当您在公司工作时,每个人都应该首先询问经理,是否可以使用SSH协议将所有设备置于操作模式,以保护您的流量。
我认为今天我们已经考虑了足够有用的材料。 我建议您做笔记,以更好地了解手头的问题。 如果您不了解今天的视频教程中有关物理和逻辑网络拓扑或交换机设置的知识,请随时提出问题,包括在Facebook组
www.facebook.com/NetworKingConsultant中 ,我将作答。
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的资料吗? 通过下订单或将其推荐给您的朋友来支持我们,
为我们为您发明的入门级服务器的独特模拟,为Habr用户提供
30%的折扣: 关于VPS(KVM)E5-2650 v4(6核)的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器? (RAID1和RAID10提供选件,最多24个内核和最大40GB DDR4)。
戴尔R730xd便宜2倍? 仅
在荷兰,我们有
2台Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100电视 ! 戴尔R420-2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB-$ 99起! 阅读有关
如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程?