Praktikum2 Semiz Pott (1) .pdf

FB03
Elektrotechnik und Informatik Datennetze und Datenübertragung
Prof. Dr. Klaus Weidenhaupt
Klaus.weidenhaupt@hsnr.de

Versuch Nr. 2 – Switch Konfiguration
Praktikumsgruppe: ______A____
Studierender 1

Name
Oguzhan Semiz

Matrikelnummer
954625

Studierender 2

838366
Sabrina Pott

Part 1: Lernziel
•

Die Konfiguration von Sicherheits-Features auf einem Switch
kennen lernen und anwenden können.

Part 2: Aufgabenbeschreibung
•
•
•

•
•

Drucken Sie sich diese Anleitung aus und bringen Sie sie
mit ins Praktikum. Ohne Ausdruck keine Teilnahme am
Praktikum!
Bilden Sie eine Gruppe zu je zwei Personen. Für jede 2er-Gruppe
stehen ein PC, ein Switch und ein Router zur Verfügung.
Führen Sie die Aufgaben durch und beantworten Sie die gestellten
Fragen. Sie können Ihre Antworten direkt in die Word-Version
dieses Dokuments schreiben. Wenn Sie Ihre Antworten separat
dokumentieren, geben Sie zu jeder Antwort jeweils die Nummer
der entsprechenden Frage an.
Achten Sie darauf, dass Sie in der Lösung Ihre Praktikumsgruppe
sowie Ihre Namen und Ihre Matrikelnummern angeben.
Schicken Sie Ihre Ergebnis-Dokumentation bis spätestens eine
Woche nach Ihrem Praktikumstermin an
klaus.weidenhaupt@hsnr.de. Verspätet eingegangene
Lösungen werden nicht akzeptiert. Schreiben Sie in das
Betreff-Feld Ihrer email bitte folgenden Text:
DNU-Aufgabe 2 <Matrikelnummer Stud. 1>,
<Matrikelnummer-Stud. 2>

Antestat
Lesen Sie zur Vorbereitung folgende Abschnitte aus CCNA 2 „Routing &
Switching Essentials“ durch:
• Chapter 2: Basic Switching Concepts and Configuration
Über folgende URL erhalten Sie Zugriff auf die CCNA-Materialien:
http://www-dnm.kr.hsnr.de/, dann Cisco AcademyCurricula klicken
(username: ciscoprobe; passwort: dnm_4all)
Ich werde zu Beginn des Praktikums mit einigen
Verständnisfragen überprüfen, ob sich jede(r) Teilnehmer(in)
entsprechend vorbereitet hat!
1

FB03
Elektrotechnik und Informatik Datennetze und Datenübertragung
Prof. Dr. Klaus Weidenhaupt
Klaus.weidenhaupt@hsnr.de

Versuch Nr. 2 – Switch Konfiguration
Eine Kurzübersicht über die in diesem Versuch benötigten Cisco
IOS-Befehle finden Sie in dem Dokument „Befehlsliste für Versuch 2,
Variante A“ auf meiner Webseite.

2

FB03
Elektrotechnik und Informatik Datennetze und Datenübertragung
Prof. Dr. Klaus Weidenhaupt
Klaus.weidenhaupt@hsnr.de

Versuch Nr. 2 – Switch Konfiguration
Hintergrund
Genau wie Endgeräte (PCs, Server) müssen Netzwerkgeräte abgesichert werden. In diesem
Praktikum werden Sie gemäß allgemein bewährten Sicherheitsempfehlungen einen LAN Switch so
konfigurieren, dass Remote Access über die vty-Lines nur per SSH möglich ist. Weiterhin werden
Sie nur abgesicherte HTTPS-Sessions zulassen und Port Security implementieren, so dass Geräte
mit einer unzulässigen MAC-Adresse über den Switch keinen Netzzugang erhalten.

Part 3:

Netztopologie

Part 4:

Adressierungstabelle

Device

Interface

IP Address

Subnet Mask

Default Gateway

R1

F0/1

172.16.99.1

255.255.255.0

N/A

S1

VLAN 99

172.16.99.11

255.255.255.0

172.16.99.1

PC-A

NIC

172.16.99.3

255.255.255.0

172.16.99.1

Aufgabe 1: Verkabeln der Topologie und Initialisierung der Geräte
Step 1:

Verkabeln Sie das in der Topologie dargestellte Netzwerk.

Step 2:

Versetzen Sie den Switch und den Router in de n Grundzustand (falls erforderlich).

Aufgabe 2: Grundkonfiguration und Überprüfung der
Konnektivität
Step 3:

Nehmen Sie die Grundkonfiguration auf dem Router R1 vor und dokumentieren Sie die
erforderlichen Befehle.
2.3.1 Hostname.
router>enable
router#config t
router(config)#hostname R1
2.3.2 DNS Lookup deaktivieren.
R1(config)#no ip domain-lookup
2.3.3 IP Adresse von F0/1
R1(config)#interface F0/1
R1(config-if)#ip address 172.16.99.1
R1(config-if)#exit

3

FB03
Elektrotechnik und Informatik Datennetze und Datenübertragung
Prof. Dr. Klaus Weidenhaupt
Klaus.weidenhaupt@hsnr.de

Versuch Nr. 2 – Switch Konfiguration
2.3.4 Passwörter für privilegierten Modus (class) und für die Konsolen- und
vty-Zugänge (cisco).
R1(config)#enable secret class
R1(config)#line con 0
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#exit
R1(config)#line vty 0 4
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#exit
2.3.5 Verschlüsselung der Passwörter aktivieren
R1(config)#service password-encryption
2.3.6 Running-config als Startup-Config speichern
R1(config)#exit
R1#copy running-config startup-config
Step 4:

Nehmen Sie die Grundkonfiguration auf dem Switch S1 vor und dokumentieren Sie die
erforderlichen Befehle:
2.4.1 Hostname.
Switch>enable
Switch#config t
Switch(config)#hostname S1
2.4.2 DNS Lookup deaktivieren
S1(config)#no ip domain-lookup
2.4.3 Passwörter für privilegierten Modus (class) und für den Konsolenzugang
(cisco). Die vty-Zugänge auf dem Switch werden wir später gesondert absichern
(s. Aufgabe 3).
S1(config)#enable secret class
S1(config)#con line 0
S1(config-line)#password cisco
S1(config-line)#login
S1(conifg-line)#exit
2.4.4 IP-Adresse von R1 als Default-Gateway von S1
S1(config)#ip default-gateway 172.16.99.1
2.4.5 Verschlüsselung der Passwörter aktivieren
S1(config)#service password-encryption
2.4.6 Speichern des running-config als startup-config
S1(config)#exit
S1#copy running-config startup-config
2.4.7 VLAN 99 auf Switch S1 erzeugen und den Namen Management geben
S1#config t

4

FB03
Elektrotechnik und Informatik Datennetze und Datenübertragung
Prof. Dr. Klaus Weidenhaupt
Klaus.weidenhaupt@hsnr.de

Versuch Nr. 2 – Switch Konfiguration
S1(config)#vlan 99
S1(config-vlan)#name Management
2.4.8 Interface-IP-Adresse laut Tabelle konfigurieren und aktivieren
S1(config-vlan)#exit
S1(config)#interface vlan 99
S1(config-if)#ip adress 172.16.99.11 255.255.255.0
S1(config-if)#no shutdown
2.4.9 Übersicht über die VLANS ausgeben lassen. Wie lautet der Status von VLAN
99?
S1(config-if)#exit
S1(config)#exit
S1#show vlan
Der Status von VLAN 99 lautet „active“
2.4.10 Kurz Übersicht über den Zustand der Interfaces geben lassen. Wie ist
Status und Protokoll-Zustand von VLAN 99?
S1#show ip interface brief
VLAN 99 is up, line-protocol is down
Warum ist das Protokol down?
Weil dem line-protocol noch nichts zugewiesen wurde.
2.4.11 Dem VLAN 99 Port0/5 und Port0/6 zuweisen
S1#config t
S1(config)#interface F0/5
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 99
S1(config-if)#exit
S1(config)#interface F0/6
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 99
S1(config-if)#exit
2.4.12 Nochmal eine Zustands-Kurzübersicht geben lassen.Wie sieht jetzt der
Status aus?
S1(config)#exit
S1#show ip interface brief
Jetzt steht beides auf „up“.
Step 5:

Die Einstellungen verifizieren
2.5.1 Von PC-A das Default-Gateway anpingen
R1#ping 172.16.99.1
4 Pakete erfolgreich gesendet
2.5.2 Von PC-A aus die Management-Adresse von S1 anpingen.
R1#ping 172.16.99.11

5

FB03
Elektrotechnik und Informatik Datennetze und Datenübertragung
Prof. Dr. Klaus Weidenhaupt
Klaus.weidenhaupt@hsnr.de

Versuch Nr. 2 – Switch Konfiguration
4 Pakete erfolgreich gesendet
2.5.3 Von S1 das Default-Gateway anpingen
S1>enable
S1#ping 172.16.99.1
Pakete (5) erfolgreich gesendet
2.5.4 Konnten Sie auf das Webinterface zugreifen?
Ja.

Aufgabe 3: SSH Zugang auf S1 konfigurieren
Aufgabe 3.1 vty-lines auf S1 so konfigurieren, dass ein Remote
Zugang nur per SSH über einen Benutzer-Account möglich ist.
3.1.1 Erzeugen Sie den Domänennamen CCNA-Lab.com
S1#config t
S1(config)#ip domain-name CCNA-Lab.com
3.1.2 Lokalen Nutzer mit Namen admin und Passwort sshadmin anlegen, der die
Rechte eines Admins hat.
S1(config)#username admin privilege 15 secret sshadmin
3.1.3 vty 0-15: Nur ssh. Im line-Modus: terminal monitor
S1(config)#line vty 0 15
S1(config-line)#transport input ssh
S1(config-line)#login local
S1(config-line)#terminal monitor
S1(config-line)#exit
3.1.4 RSA Schlüssel mit einem Modus von 1024 Bit erzeugen
S1(config)#crypto key generate rsa modules 1024
3.1.5 Verifizieren+SSH Infos anzeigen lassen
S1(config)#exit
S1#show ip ssh
Welche SSH Version? 1.99
Wie viele Einloggversuche erlaubt? 3 Versuche
Default Einstellung für den Timeout? 120 Sekunden
3.1.6 Ändern: Timeout auf 75 Sekunden, Versuche auf 2:
S1#config t
S1(config)#ip ssh time-out 75 retries 2

Aufgabe 3.2 Überprüfung der SSH Konfigurationen
3.2.1 War die Verbindung erfolgreich?
Ja, war Sie
Welcher Prompt wird auf S1 gezeigt? Warum?
Es wird nichts angezeigt

Aufgabe 4 Absicherung des Switch S1
6

FB03
Elektrotechnik und Informatik Datennetze und Datenübertragung
Prof. Dr. Klaus Weidenhaupt
Klaus.weidenhaupt@hsnr.de

Versuch Nr. 2 – Switch Konfiguration
Aufgabe 4.1 Konfiguration der allgemeinen Sicherheitseinstellungen
4.1.1 Ein MOTD konfigurieren mit passender Meldung
S1(config)#banner motd#Unbefugter Zugriff verboten!#
4.1.2 Zustand aller Interfaces anzeigen lassen
S1(config)#exit
S1#show ip interface brief
Über welche physichen Ports verfügt das Interface und welche sind up?
F0/1-F0/24 & Gigabit Ethernetports 0/1 & 0/2.
„UP“ sind F0/5 und F0/6.
4.1.3 Deaktivieren Sie alle unbenutzten physikalischen Ports mittels interface
range Befehl
S1#config t
S1(config)#interface range f0/1-4
S1(config-if-range)#shutdown
S1(config-if-range)#exit
S1(config)#interface range f0/7-24
S1(config-if-range)#shutdown
S1(config-if-range)#exit
S1(config)#interface range Gigabit Ethernet 0/1-2
S1(config-if-range)#shutdown
S1(config-if-range)#exit
4.1.4 Lassen Sie sich den Zustand anzeigen
S1(config)#exit
S1#show ip interface brief
Wie lautet der Status von F0/1-4?
Administrateively down
4.1.5 Lassen Sie sich Infos über den http Dienst auf S1 anzeigen?
S1#show ip http server status
http ist „Enabled“
Welcher Server Port?
80
Https Secure Sever Status?
Enabled
Welcher Secure Server Port?
443
4.1.6 Schalten Sie den http auf S1 aus
S1 conf t
S1(config)#no ip http server
4.1.7 Auf PC-A im Browser http://172.16.99.11 aufrufen. Wie lautet das Resultat?

7

FB03
Elektrotechnik und Informatik Datennetze und Datenübertragung
Prof. Dr. Klaus Weidenhaupt
Klaus.weidenhaupt@hsnr.de

Versuch Nr. 2 – Switch Konfiguration
Verbindung fehlgeschlagen
4.1.8 Das gleiche mit https, wie ist nun das Ergebnis?
Das komplette Webinterface wird angezeigt.

Aufgabe 4.2 Einstellen von Port-Security auf S1
4.2.1 Lassen Sie sich auf dem Router R1 Interface-Infos zum Interface Fa0/1
anzeigen. Wie lautet dessen MAC Adresse?
MAC Adresse: 0025.84be.eb21 (bia 0025.84be.eb21)
4.2.2 Lassen Sie sich auf dem Switch S1 die MAC Adresstabelle anzeigen.
S1(config)#exit
S1#show mac adress-table
MAC Adresse an F0/5?
0025.84be.eb21
MAC Adresse an F0/6?
001b.2153.bab3
4.2.3 Port F0/5 auf S1 runterfahren, und Port-Security einstellen
S1#config t
S1(config)#interface F0/5
S1(config-if)#shutdown
S1(config-if)#switchport port-security
4.2.4 Konfigurieren Sie die MAC Adresse des F0/1Interfaces von R1, die Sie oben
ermittelt haben, statisch als einzig auf dem Port0/5 von S1 erlaubte MAC Adresse
S1(config-if)#switchport port-security mac-adress 0025.84be.eb21
4.2.5 Aktivieren Sie den Port wieder
S1(config-if)#no shutdown
4.2.6 Verifizieren Sie die Einstellungen der port security auf S1 von F0/5 mittels
des show port-security interface F0/5 Kommandos
S1(config-if)#exit
S1(config)#exit
S1#show port-security interface F0/5
Wie lautet der Port Status?
Enabled
Wie lautet der violation mode?
Shutdown
Wie hoch ist die maximale Anzahl erlaubter MAC Adressen?
1
Wie hoch ist der Security Violation Count?
0
4.2.7 Zur Verifikation von R1 aus PC-A npingen. War der ping erfolgreich?
R1>enable
R1#ping 172,16.99.3

8

FB03
Elektrotechnik und Informatik Datennetze und Datenübertragung
Prof. Dr. Klaus Weidenhaupt
Klaus.weidenhaupt@hsnr.de

Versuch Nr. 2 – Switch Konfiguration
Ja, der Ping war erfolgreich.
4.2.8 Sie sollen nun bewusst die Port Security auf dem Switch-Port F0/5
verletzen, indem Sie dem daran angeschlossenen Interface vom Router R1 eine
neue MAC-Adresse verpassen. Gehen Sie dazu in R1 in den Interface
Konfigurationsmodus von F0/1 und geben Sie folgende Befehle ein:
R1# config t
R1(config)# interface F0/1
R1(config-if)# shutdown
Ändern Sie die MAC-Adresse wie folgt in aaaa.bbbb.cccc:
R1(config-if)# mac-address aaaa.bbbb.cccc
4.2.9 Während Sie mit der Konsole auf R1 sind, öffnen Sie eine ssh-Session von
Ihrem PC-A auf den Switch, um gleichzeitig die Meldungen des Switch sehen zu
können. Sie sollten verschiedene Meldungen über eine Verletzung der Port
Security-Einstellungen auf Port F0/5 sehen, sobald Sie das F0/1 Interface auf R1
wieder hochfahren.
Fahren Sie nun auf R1 das Interface F0/1 mit no shutdown wieder hoch.
R1(config-if)#no shutdown
4.2.10 Den Router aus den PC-A anpingen. War der Ping erfolgreich? Begründen
Sie die Antwort.
R1(config-if)#exit
R1(config)#exit
R1#ping 172,16.99.3
Nein, es war nicht erfolgreich, weil nun die Port Security verletzt wird.
4.2.11 Ausgabe S1 allgemeine Statistiken zur Port-Security ausgeben lassen
mittels show port-security
Wie viele Security-Violations wurden auf welchen Ports festgestellt?
Es gibt eine Violation von Port F0/5.
Speziell für Port F0/5 die Port-Security Infos ausgeben lassen.
S1>enable
S1#show port-security Interface F0/5
Wie lautet der Port Status?
Secure-Shutdown
4.2.12 Auf Router R1 Interface F0/1 runterfahren, die zuvor eingestellte MAC
Adresse mit no mac-address aaaa.bbbb.cccc und fahren Sie das Interface wieder
hoch.
R1(config)#interface F0/1
R1(config-if)#shutdown
R1(config-if)#switchport port-security no mac-address aaaa.bbbb.cccc
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#exit
4.2.13 Pingen Sie nun von R1 aus den PC-A an, war es nun erfolgreich?
R1#ping 172,16.99.3

9