From 92de5b18580f4fd747c16d65f555bd5801b5b13d Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?=E5=90=B4=E6=99=BA=E5=B3=B0=28=E9=99=88=E6=99=BA=E5=AE=8F?= =?UTF-8?q?=E9=A2=86=E5=9F=9F=E5=A4=A7=E7=A5=9E=29?= <592926642@qq.com> Date: Tue, 1 Apr 2025 11:45:11 +0800 Subject: [PATCH 1/2] 519 --- ...41\347\220\206\345\256\236\346\210\230.md" | 212 ++++++++++++++++++ 1 file changed, 212 insertions(+) create mode 100644 "10\345\220\264\346\231\272\345\263\260/20250331 Cisco\344\272\244\346\215\242\346\234\272\345\256\211\345\205\250\347\256\241\347\220\206\345\256\236\346\210\230.md" diff --git "a/10\345\220\264\346\231\272\345\263\260/20250331 Cisco\344\272\244\346\215\242\346\234\272\345\256\211\345\205\250\347\256\241\347\220\206\345\256\236\346\210\230.md" "b/10\345\220\264\346\231\272\345\263\260/20250331 Cisco\344\272\244\346\215\242\346\234\272\345\256\211\345\205\250\347\256\241\347\220\206\345\256\236\346\210\230.md" new file mode 100644 index 0000000..33c5d99 --- /dev/null +++ "b/10\345\220\264\346\231\272\345\263\260/20250331 Cisco\344\272\244\346\215\242\346\234\272\345\256\211\345\205\250\347\256\241\347\220\206\345\256\236\346\210\230.md" @@ -0,0 +1,212 @@ + + +# 安全无小事 + +## 一、案例分析 +1. **案例一:大学宿舍网络瘫痪事件** + **情景描述:** 某大学男生宿舍的网络突然瘫痪,所有学生无法上网。调查发现,由于交换机默认任何人都能直接进入配置模式。一名学生出于好奇,用自带的Console线连入宿舍楼的交换机,误删除了VLAN配置。 + +2. **请讨论:如何避免这种事情的发生?**: + - "如果管理员给交换机设置了Console密码,能否避免这次事故?" + - **Console密码的作用**:防止物理接触设备的非授权操作。 + - "哪些场所的设备必须强制设置物理接口密码?" + - (如校园机房、公司服务器柜) + - “除了设置密码,还有什么措施来防止这种物理接触?” + - 将交换机放机柜,并上锁。 + +3. **待做实验:你现在是大学网络管理员,需防止学生误操作交换机** + - 对每个宿舍楼的交换机,进行安全升级,给console连接设置密码。 + - 思考:如果要对学校所有的交换机都进行现场维护呢,怎么办。 + - 远程维护,置Telnet登录交换机 + +---------- + + + +--- + +1. **案例二:奶茶店Wi-Fi被黑事件** + + **情景描述:** 一家网红奶茶店提供免费Wi-Fi,但顾客手机频繁弹出广告。调查发现,店主为了管理方便,用Telnet远程管理奶茶店的路由器,黑客通过抓包获取管理员密码,劫持了网络流量。 + +2. **请讨论**:为什么用Telnet远程管理路由器这么不安全。有什么替代方案。 + 1. Telnet使用的是明文传输,具有被抓包监听的风险 + 2. 使用SSH代替Telnet + +3. **待做实验**:店主希望杜绝密码泄露风险 + 1. 用PC的"仿真模式"捕获Telnet数据包,直观看到密码明文。 + 2. 配置SSH登录 + + +--- + +1. **案例三:某酒店摄像头遭入侵事件** + + **情景描述:** 某酒店智能摄像头被陌生人控制,原因通过SSH居家维护酒店的网络设备,但路由器特权模式密码设为的"abc123456"。黑客通过猜测密码进入路由器,重定向了摄像头数据。 + +2. **请讨论**:如何避免此类事件再次发生。 + + 1. 新冠疫情期间工程师通过SSH居家维护设备 + 2. 设置高强度密码(要求包含大小写、数字、符号) + 3. 强制加密存储,防止密码泄露 + 4. 密码强度检测工具演示:https://passwordmeter.com + +3. **待做实验**: + + 1. 设置特权模式的复杂密码 + 2. 使用明文密码 + 3. 使用密文密码 + 4. 查看配置 + +--- + + + +## 实验清单 + +1. 实验设备:Switch_2960 1台;PC 2~3台;配置线;直通线。 + + +1. **Console密码配置** + + ```cmd + Switch> enable //进入特权执行模式,获得设备高级操作权限 + Switch# configure terminal //进入全局配置模式,影响整个设备的配置参数 + Switch(config)# line console 0 //控制台线路模式,"0"表示第一个控制台接口 + Switch(config-line)# password abc123456 //设置控制台登录密码为"abc123456" + Switch(config-line)# login //强制连接控制台时输入密码,若不配置不会生效 + Switch(config-line)# end //直接退出所有配置模式,返回特权执行模式 + Switch# show running-config //显示配置文件内容,用来检查配置是否生效, 特权模式 + Switch# write //保存配置 + ``` + + - 在 Cisco 设备中,以下密码默认以 **明文形式** 存储于配置文件中: + + - 控制台密码(`line console 0` 的 `password`) + - Telnet/VTY 密码(`line vty` 的 `password`) + - 特权模式密码(`enable password`) + + - 启用全局密码加密服务 + + ``` cmd + Switch(config)# service password-encryption // 对明文密码进行弱加密 + ``` + + - + + ![Snipaste_2025-03-31_11-15-32](https://gitee.com/wof317/picture-bed/raw/master/img/upgit_20250401_1743479019.png) + +2. **Telnet配置** + ![image.png](https://gitee.com/onesheet/images_backup/raw/master/images/20250331003247.png) + + ```cmd + Switch> + Switch>enable + Switch#configure terminal + Switch(config)#line vty 0 4 /进入虚拟终端线路配置模式(0-4表示5个并发远程连接) + Switch(config-line)#password 112233 //设置Telnet登录密码 + Switch(config-line)#login //启用密码验证(必须配置才能使密码生效) + Switch(config-line)#transport input telnet //指定这些线路只接受Telnet连接 + Switch(config-line)#exit //退出当前配置模式(返回上一级) + Switch(config)#interface vlan 1 //进入VLAN 1接口配置模式(默认管理VLAN) + Switch(config-if)#ip address 192.168.10.1 255.255.255.0 //为交换机设置管理IP地址和子网掩码 + Switch(config-if)#no shutdown //激活该虚拟接口(默认交换机物理接口常开,但VLAN接口需手动激活) + ``` + + 配置计算机1,用telnet去登录交换机,有啥问题? + 缺少权限的密码,不让切换模式。 + + + + + + **对特权模式也配置密码,安全加倍** + + ```cmd + #特权模式有两种密码 + Switch(config)# enable password 111111 //明文密码 + Switch(config)#end + Switch#show running-config | include enable //可见密码被暴露 + Switch(config)# enable secret 222222 //加密密码 + Switch#show running-config | include enable //可见密码被加密 + ``` + + **两种都配置呢,哪个为准。111111还是222222 ** + +3. **SSH高级配置** + + ```cmd + Switch(config)# hostname SW1 //主机名(RSA密钥生成必需) + SW1(config)# ip domain-name mxdx.com //域名(RSA密钥生成必需) + SW1(config)# crypto key generate rsa //生成RSA密钥,可直接回车 + SW1(config)# username admin secret abc //创建本地用户admin,密码abc(SSH登录用) + SW1(config)# line vty 0 4 + SW1(config-line)# transport input ssh //只允许SSH + SW1(config-line)# login local //使用本地用户认证 + SW1# show ip ssh //确认SSH已启用 + ``` + + 连接: + + ```cmd + ssh admin@192.168.10.1 #真机可用,假设交换机管理IP是192.168.10.1 + # 或者 + ssh -l admin 192.168.10.1 #模拟器用这个 + ``` + + + +4. 抓包 + + ![Snipaste_2025-03-31_11-16-02](https://gitee.com/wof317/picture-bed/raw/master/img/upgit_20250401_1743479029.png) + +**关键命令速查表:** + +```shell +# 保存配置 +SW1# write + +#查看SSH状态 +SW1# show ip ssh + +# 查看配置清单 +SW1# show run | include 查看的关键字 +``` + + + +**常见错误清单:** + +1. Telnet连接超时 → 检查VLAN接口状态 +2. SSH连接被拒绝 → 确认生成RSA密钥 +3. 密码不生效 → 检查login命令是否配置 + + + + + +**知识清单**: + +1. telnet是远程控制交换机、路由器等网络设备的常用协议(端口号为23),为管理员远程集中管理和维护网络设备提供便利。在二层交换机中,IP地址仅用于远程登录管理交换机,对于交换机的运行不是必需,但是若没有配置管理IP地址,则交换机只能采用控制端口console进行本地配置和管理。 +2. 配置交换机(服务端)的管理IP地址,保证计算机(客户端)的IP地址与交换机管理IP地址在同一个网段(即“网络可达”)。 +3. 默认情况下,交换机的所有端口均属于VLAN1,VLAN1是交换机自动创建和管理的。每个VLAN只有一个活动的管理地址,且默认是关闭的,需要手动打开。 +4. vty(Virtual Teletype Terminal,虚拟终端)线路:为每一个远程用户登陆网络设备而开放的虚拟线路,我们必须为其设置密码方可登录。 +5. 基于对安全的考虑,Cisco总是默认关闭telnet服务,并且只有配置了远程登陆密码才能使用。同时还要配置特权密码,否则不能进入特权模式。 +6. 可选安全配置: + 1. 使用SSH加密传输; + 2. 设置ACL限制访问; + 3. 修改telnet端口号; + + + + + + + + + +练习清单: + +1. 分别完成Console密码,Telnet,SSH登录的实验 +2. 如何同时开启SSH和Telnet +3. 如何反向操作,如取消密码,取消登录 -- Gitee From f177a140367cec9252d7b684dc95a82d3989b157 Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?=E5=90=B4=E6=99=BA=E5=B3=B0=28=E9=99=88=E6=99=BA=E5=AE=8F?= =?UTF-8?q?=E9=A2=86=E5=9F=9F=E5=A4=A7=E7=A5=9E=29?= <592926642@qq.com> Date: Thu, 3 Apr 2025 11:19:32 +0800 Subject: [PATCH 2/2] 519 --- ...00\345\237\237\347\275\221\357\274\211.md" | 121 ++++++++++++++++++ 1 file changed, 121 insertions(+) create mode 100644 "10\345\220\264\346\231\272\345\263\260/20250403 \345\215\225\344\272\244\346\215\242\346\234\272\345\210\222\345\210\206VLAN\357\274\210\350\231\232\346\213\237\345\261\200\345\237\237\347\275\221\357\274\211.md" diff --git "a/10\345\220\264\346\231\272\345\263\260/20250403 \345\215\225\344\272\244\346\215\242\346\234\272\345\210\222\345\210\206VLAN\357\274\210\350\231\232\346\213\237\345\261\200\345\237\237\347\275\221\357\274\211.md" "b/10\345\220\264\346\231\272\345\263\260/20250403 \345\215\225\344\272\244\346\215\242\346\234\272\345\210\222\345\210\206VLAN\357\274\210\350\231\232\346\213\237\345\261\200\345\237\237\347\275\221\357\274\211.md" new file mode 100644 index 0000000..e336a49 --- /dev/null +++ "b/10\345\220\264\346\231\272\345\263\260/20250403 \345\215\225\344\272\244\346\215\242\346\234\272\345\210\222\345\210\206VLAN\357\274\210\350\231\232\346\213\237\345\261\200\345\237\237\347\275\221\357\274\211.md" @@ -0,0 +1,121 @@ +# 单交换机划分VLAN(虚拟局域网) + +1. 默认所有端口都属于VLAN1 + +2. 管理交换机的VLAN通常通过端口来划分VLAN ID + +3. 只有同一个VLAN编号内的主机 ,才可以互相通讯,言外之意不同VLAN编号,不能通讯 + +![image.png](https://gitee.com/onesheet/images_backup/raw/master/images/20250401151000.png) + +如图,要将一个普通局域网分割成三个虚拟局域网,vlan10,vlan20,vlan30, + +所以要设置交换机,将不同的接口划分到对应的VLAN编号, + +1. 创建对应的VLAN ID: 10 20 30 + + ```shell + Switch(config)#vlan 10 + Switch(config-vlan)#exit + Switch(config)#vlan 20 + Switch(config-vlan)#exit + Switch(config)#vlan 30 + Switch(config-vlan)#exit + + + # 给vlan改名字,默认是VALN0020 + Switch(config)#vlan 20 + Switch(config-vlan)#name students + ``` + + + +2. 查看VLAN的信息 + + ```shell + Switch#show vlan + Switch#show vlan brief + + VLAN Name Status Ports + ---- -------------------------------- --------- ------------------------------- + 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 + Fa0/5, Fa0/6, Fa0/7, Fa0/8 + Fa0/9, Fa0/10, Fa0/11, Fa0/12 + Fa0/13, Fa0/14, Fa0/15, Fa0/16 + Fa0/17, Fa0/18, Fa0/19, Fa0/20 + Fa0/21, Fa0/22, Fa0/23, Fa0/24 + Gig0/1, Gig0/2 + 10 VLAN0010 active + 20 VLAN0020 active + 30 VLAN0030 active + 1002 fddi-default active + 1003 token-ring-default active + 1004 fddinet-default active + 1005 trnet-default active + ``` + + + +3. 选择对应的接口,划入对应的VLAN编号 + + ```shell + # 单接口 + Switch(config)#interface fastEthernet 0/1 // 选择一个接口 + Switch(config-if)#switchport access vlan 10 //将接口划入VLAN10 ,access模式用来连接网络设备和主机电脑 + + # 连续的多接口 + Switch(config)#interface range f0/2-3 // 连续的2到3 + Switch(config-if-range)#switchport access vlan 10 + ``` + + + + + + + +# 多交换机划分VLAN +![image.png](https://gitee.com/onesheet/images_backup/raw/master/images/20250401154442.png) + +1. 交换机连接交换机的端口要改成中继模式trunk + + ```cmd + Switch(config-if)#switchport mode trunk + + + # 或者 查看所有接口的信息 + Switch#show interfaces status + + + SW3#show interfaces status + Port Name Status Vlan Duplex Speed Type + Fa0/1 connected 10 auto auto 10/100BaseTX + Fa0/2 connected 10 auto auto 10/100BaseTX + Fa0/3 connected 10 auto auto 10/100BaseTX + Fa0/4 connected 20 auto auto 10/100BaseTX + Fa0/5 connected 20 auto auto 10/100BaseTX + Fa0/6 connected 20 auto auto 10/100BaseTX + Fa0/7 connected 1 auto auto 10/100BaseTX + Fa0/8 notconnect 1 auto auto 10/100BaseTX + Fa0/9 notconnect 1 auto auto 10/100BaseTX + Fa0/10 notconnect 1 auto auto 10/100BaseTX + Fa0/11 notconnect 1 auto auto 10/100BaseTX + Fa0/12 notconnect 1 auto auto 10/100BaseTX + Fa0/13 notconnect 1 auto auto 10/100BaseTX + Fa0/14 notconnect 1 auto auto 10/100BaseTX + Fa0/15 notconnect 1 auto auto 10/100BaseTX + Fa0/16 notconnect 1 auto auto 10/100BaseTX + Fa0/17 notconnect 1 auto auto 10/100BaseTX + Fa0/18 notconnect 1 auto auto 10/100BaseTX + Fa0/19 notconnect 1 auto auto 10/100BaseTX + Fa0/20 notconnect 1 auto auto 10/100BaseTX + Fa0/21 notconnect 1 auto auto 10/100BaseTX + Fa0/22 notconnect 1 auto auto 10/100BaseTX + Fa0/23 connected 30 auto auto 10/100BaseTX + Fa0/24 connected 30 auto auto 10/100BaseTX + Gig0/1 notconnect 1 auto auto 10/100BaseTX + Gig0/2 notconnect 1 auto auto 10/100BaseTX + ``` + + + -- Gitee