实验一 保护网络设备(第二章)
CCNAS_Chp2_ PTActA_Syslog-SSH-NTP中文实验指导
地址表
Device | Interface | IP Address | Subnet Mask | Default Gateway | Switch Port |
R1 | FA0/1 | 192.168.1.1 | 255.255.255.0 | N/A | S1 FA0/5 |
S0/0/0 (DCE) | 10.1.1.1 | 255.255.255.252 | N/A | N/A | |
R2 | S0/0/0 | 10.1.1.2 | 255.255.255.252 | N/A | N/A |
S0/0/1 (DCE) | 10.2.2.2 | 255.255.255.252 | N/A | N/A | |
R3 | FA0/1 | 192.168.3.1 | 255.255.255.0 | N/A | S3 FA0/5 |
S0/0/1 | 10.2.2.1 | 255.255.255.252 | N/A | N/A | |
PC-A | NIC | 192.168.1.5 | 255.255.255.0 | 192.168.1.1 | S1 FA0/6 |
PC-B | NIC | 192.168.1.6 | 255.255.255.0 | 192.168.1.1 | S2 FA0/18 |
PC-C | NIC | 192.168.3.5 | 255.255.255.0 | 192.168.3.1 | S3 FA0/6 |
实验目标:
将路由器配置为NTP客户端
配置路由器的硬件时钟:依据NTP服务器时钟定期更新
配置路由器:将日志信息发送到syslog服务器
ssh命令行 配置路由器:日志信息配加时间戳
配置本地用户
配置VTY:只接收SSH远程登录
配置SSH服务器的RSA密钥对
验证PC客户端和路由器客户端的SSH连接是否正确。
简介
网络拓扑图如左图,有3个路由器。本实验将配置路由器上的NTP和Syslog。配置R3上的SSH。NTP可以使网络上的所有路由器的时间与NTP服务器同步。NTP客户端从唯一的源获取时间和日期信息,保持相同的时间设定,这样生成的Syslog信息更容易被分析,更有助于攻击和其他网络问题出现时进行故障检修。在网络中执行NTP时,可以设立私有的主时钟,或者与互联网的公有NTP服务器时钟保持同步。
本实验中,NTP服务器(主机PC-A)是主NTP服务器。本实验将配置所有路由器的软件时钟与时间服务器同步,同时,设置路由器定期更新硬件时钟。否则,硬件时钟将越来越慢或越来越快,以至于软件时钟和硬件时钟相互的时间误差越来越大。
本实验中,系统日志服务器将提供信息日志,实验中要配置路由器识别接收日志信息的远程系统日志服务器。还要为路由器配置时间戳。当用Syslog监控网络时,在Syslog信息中显示正确的时间和日期是非常重要的。如果没有正确的时间和日期,要决定是什么网络事件导致该信息是困难的。
R2是一个ISP,连接到两个远程网络:R1和R3。本地管理员在R3上,执行大部分路由器配置和故障检测。因为R3是管理路由器,ISP需要访问R3来进行偶发的故障检修和各种更新。
为了完全地进行这种访问,管理员采用SSH安全层协议。
进入CLI,配置路由器用SSH代替Telnet。SSH代替Telnet提供远程路由器管理,它可以支持连接的机密性及会话的完整性。它加密所有通过网络链路的信息,提供对远程计算机的认证。SSH快速地替代Telnet成为网络专业人员的远程登录工具。
服务器已预配置了NTP和Syslog服务。NTP不要求认证。路由器已预配置:
Enable password: ciscoenpa55
Password for vty lines: ciscovtypa55
Static routing
任务1:配置路由器为NTP客户端
步骤1:连接:
Ping from PC-C to R3.
Ping from R2 to R3.
Telnet from PC-C to R3.
Telnet from R2 to R3.
方法: 进入主机PC-C的命令行窗口,输入:
ping 192.168.3.1
telnet 192.168.3.1 再输入vty密码:ciscovtypa55
进入路由器R2的CLI界面,输入:
R2>ping 192.168.3.1
R2>telnet 192.168.3.1 再输入vty密码:ciscovtypa55
R3>
步骤2:配置R1,R2,R3为NTP客户端,并验证客户端是否已为同步状态:
方法: 进入路由器R1的CLI界面,输入:
R1>enable 输入enable密码:ciscoenpa55
R1#conf t
R1(config)#ntp server 192.168.1.5
R1(config)# ^Z 或exit
R1#show clock
R1#show ntp status
同法,配置2,R3为NTP客户端,并验证。
(注意:如果要配置本机(本路由器)为ntp服务器,只要用命令:
R4(config)#ntp master 1
R4(config)# ^Z
即可。)
步骤3:配置路由器R1,R2,R3为更新硬件时间:配置它们为定期从NTP服务器更新硬件时钟,并验证:
方法:
R1(config)#ntp update-calendar
R1(config)#^Z
R1#show clock
R2,R3执行类似操作。
步骤4:配置路由器的日志时间戳:
方法:
R1(config)#service timestamps log datetime msec
R2,R3执行类似操作。
步骤5:配置路由器的日志时间戳服务
方法:
R1(config)#logging host 192.168.1.6
R1(config)#^Z
R2,R3类似操作。
任务2:配置路由器的日志信息发送到Syslog服务器
步骤1:配置路由器:识别远程主机(接收日志信息的Syslog服务器)
路由器控制台显示信息:日志已开始
步骤2:验证logging配置:用命令show logging
步骤3:检查Syslog服务器的日志信息
方法: 双击PC-Bconfig选项卡Syslog按钮,观察从各路由器接收到的logging信息。
注意:当在路由器上执行命令时,可在Syslog服务器上生成log信息。如:在某个路由器上,进入再退出全局配置模式,将在Syslog服务器上生成一个日志信息。
任务3:配置R3支持SSH连接
步骤1:在R3上配置域名为ccnasecurity
方法:
R3(config)#ip domain-name ccnasecurity
步骤2:在R3上配置用户作为SSH客户登录:
创建用户SSHadmin,密码为ciscosshpa55,配置最高的特权级别
方法:
R3(config)#username SSHadmin privilege 15 secret ciscosshpa55
步骤3:在R3上配置VTY入方向的SSH会话
使用本地用户帐号进行强制登录和合法性检验。只接受SSH连接。
方法:
R3(config)#line vty 0 4
R3(config-line)#login local
R3(config-line)#transport input ssh
步骤4:删除R3上现存的RSA密钥对
任何现存的RSA密钥对都应该被删除。
注意:如果没有密钥,则可以观察到信息:% No Signature RSA Keys found in configuration
方法:
R3#show crypto key mypubkey rsa
此处应该显示为空行,表示没有密码
R3#conf t
R3(config)#crypto key zeroize rsa
此处应该显示为:% No Signature RSA Keys found in configuration
步骤5:在R3上生成RSA加密密钥对
路由器使用RSA密钥对来进行认证和加密发送的SSH数据。这里配置密钥的位数为1024位(默认为512位,范围可从360至2048位)。
方法:
R3(config)#crypto key generate rsa
The name for the keys will be: R3.ccnasecurity
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will [OK]
R3(config)#
注意:此处命令不同于实验室里的命令(crypto key generate rsa general-keys modulus 1024)
步骤6:检验SSH配置:
用命令show ip ssh检验SSH配置:验证认证终止时间和重试次数为默认值120和3。
步骤7:配置SSH终止时间和认证参数:
默认SSH终止时间和认证参数可设置得更为严格。设置终止时间为90秒,认证重试次数为2次,版本为2。再用show ip ssh命令查看是否参数值都已改变。
方法:
R3(config)#ip ssh version 2 R3(config)#ip ssh time-out 90 R3(config)#ip ssh authentication-retries 2 R3(config)#exit R3# %SYS-5-CONFIG_I: Configured from console by console R3#show ip ssh SSH Enabled - version 2.0 Authentication timeout: 90 secs; Authentication retries: 2 |
步骤8:从PC-C用Telnet远程连接到R3
打开PC-C的命令窗口,输入远程连接到R3命令:
telnet 192.168.3.1
远程连接应该失败,因为R3已配置为在虚拟终端上只接收SSH连接。
步骤9:从PC-C用SSH连接到R3
发表评论