《安全管理路由器和交换机》由会员分享,可在线阅读,更多相关《安全管理路由器和交换机(6页珍藏版)》请在金锄头文库上搜索。
1、器和交换机20XX年XX月M10-1 安全管理路由器和交换机1.1 教学目的和要求1.1.1 教学目的学生通过该能力模块的学习,能够独立配置路由器和交换机上的安全功能。1.1.2 教学要求1. 教学重点配置登录验证:重点讲解登录的密码不是特权密码。网络设备的登录认证是如何实现的。配置线路访问:帮助学生理解什么是线路访问。如何控制不同的线路访问验证。配置 SSH 认证服务: SSH 和普通的 telnet 的区别。2. 教学难点配置线路访问:学生往往很难理解线路访问和 telnet 访问和特权访问的区别。1.2 本能力单元涉及的知识组织1.2.1 本能力单元涉及的主要知识点1 、配置线路访问2
2、、配置登录认证3 、配置 SSH 认证服务1.2.2 本能力单元需要解决的问题1 、按照项目的需求,重点理解线路访问和其他访问的区别;2 、按照项目的需求,熟练掌握配置各种登录认证的方法;1.3 核心技术和知识的理解1.3.1 H 概述SSH 为 SecureShell 的缩写, 由 IETF 的网络工作小组 ( NetworkWorkingGroup ) 所制定; SSH 为建立在应用层和传输层基础上的安全协议。传统的网络服务程序,如 FTP 、 POP 和 Telnet 其本质上都是不安全的;因为它们在网络上用明文传送数据、用户帐号和用户口令,很容易受到中间人( man-in-the-mi
3、ddle )攻击方式的攻击。就是存在另壹个人或者壹台机器冒充真正的服务器接收用户传给服务器的数据,然后再冒充用户把数据传给真正的服务器。而 SSH 是目前较可靠, 专为远程登录会话和其他网络服务提供安全性的协议。 利用SSH 协议能够有效防止远程管理过程中的信息泄露问题。透过SSH 能够对所有传输的数据进行加密,也能够防止DNS 欺骗和 IP 欺骗。SSH 之另壹项优点为其传输的数据是经过压缩的,所以能够加快传输的速度。 SSH 有很多功能, 它既能够代替 Telnet , 又能够为 FTP 、 POP 、 甚至为 PPP 提供壹个安全的 “通道” 。1.3.255 H 基本结构SSH 协议框
4、架中最主要的部分是三个协议:传输层协议( TheTransportLayerProtocol ) : 传输层协议提供服务器认证, 数据机密性,信息完整性等的支持。用户认证协议( TheUserAuthenticationProtocol ) :用户认证协议为服务器提供客户端的身份鉴别。连接协议( TheConnectionProtocol) :连接协议将加密的信息隧道复用成若干个逻辑通道,提供给更高层的应用协议使用。同时仍有为许多高层的网络安全应用协议提供扩展的支持。各种高层应用协议能够相对地独立于SSH 基本体系之外, 且依靠这个基本框架, 通过连接协议使用 SSH 的安全机制。1.3.3S
5、SH 安全验证在客户端来见, SSH 提供俩种级别的安全验证。第壹种级别(基于密码的安全验证) ,知道帐号和密码,就能够登录到远程主机,且且所有传输的数据都会被加密。可是,可能会有别的服务器在冒充真正的服务器,无法避免被“中间人”攻击。第二种级别(基于密匙的安全验证) ,需要依靠密匙,也就是你必须为自己创建壹对密匙,且把公有密匙放在需要访问的服务器上。客户端软件会向服务器发出请求,请求用你的密匙进行安全验证。服务器收到请求之后,先在你在该服务器的用户根目录下寻找你的公有密匙,然后把它和你发送过来的公有密匙进行比较。如果俩个密匙壹致,服务器就用公有密匙加密“质询” ( challenge )且把
6、它发送给客户端软件。从而避免被“中间人”攻击。在服务器端, SSH 也提供安全验证。在第壹种方案中,主机将自己的公用密钥分发给相关的客户端,客户端在访问主机时则使用该主机的公开密钥来加密数据,主机则使用自己的私有密钥来解密数据,从而实现主机密钥认证,确定客户端的可靠身份。在第二种方案中,存在壹个密钥认证中心,所有提供服务的主机都将自己的公开密钥提交给认证中心,而任何作为客户端的主机则只要保存壹份认证中心的公开密钥就能够了。在这种模式下,客户端必须访问认证中心然后才能访问服务器主机。1.4 实施过程指导1.4.1 控制 console 和 vty 访问第壹步:配置访问控制列表Switch(con
7、fig)#access-list10permithost192.168.1.1Router(config)#access-list10permithost192.168.1.1 第二步:控制 console 访问Switch(config)#enablesecrectlevel15ruijieSwitch(config)#lineconsole0 Switch(config-line)#login Switch(config-line)#passwordstarSwitch(config-line)#exitSwitch(config)#Router(config)#enablesecrect
8、level15ruijieRouter(config)#lineconsole0 Router(config-line)#login Router(config-line)#passwordstar Router(config-line)#exitRouter(config)#第三步:控制 vty 访问Switch(config)#linevty04Switch(config-line)#ipaccess-group10in Switch(config-line)#exitSwitch(config)#Router(config)#linevty04Router(config-line)#ip
9、access-group10in Router(config-line)#exitRouter(config)#1.4.2 配置登录认证第壹步:配置本地认证Switch(config)#usernameruijiepasswordstar Switch(config)#lineconsole0Switch(config-line)#loginlocalSwitch(config-line)#exitSwitch(config)#linevty04 Switch(config-line)#loginlocal Switch(config-line)#exitSwitch(config)#Rout
10、er(config)#usernameruijiepasswordstarRouter(config)#lineconsole0 Router(config-line)#loginlocal Router(config-line)#exitRouter(config)#linevty04 Router(config-line)#loginlocal Router(config-line)#exitRouter(config)#第二步:配置AAA 认证Switch(config)#aaanew-modelSwitch(config)#usernameruijiepasswordstarSwitc
11、h(config)#aaaauthenticationlogintestgrouplocal Switch(config)#linevty04Switch(config-line)#loginauthenticationtestSwitch(config-line)#exitSwitch(config)#Router(config)#aaanew-modelRouter(config)#usernameruijiepasswordstarRouter(config)#aaaauthenticationlogintestgrouplocal Router(config)#linevty04Rou
12、ter(config-line)#loginauthenticationtest Router(config-line)#exitRouter(config)#1.4.3 配置 SSH 认证第壹步:配置SSH 服务Switch(config)#enableservicesssh-server Switch(config)#CryptokeygeneratersaSwitch(config)#ipsshversion2Switch(config)#ipsshauthentication-retries3Switch(config)#Router(config)#enableservicesssh
13、-serverRouter(config)#CryptokeygeneratersaRouter(config)#ipsshversion2Router(config)#ipsshauthentication-retries3Router(config)#第二步:配置SSH 客户您能够使用 SSH 对设备进行管理,前提是必须打开SSHSERVER 功能,默认情况下是关闭该功能的。 由于 Windows 自带的 Telnet 组件不支持SSH , 因此必须使用第三方客户端软件,当前兼容性较好的客户端包括: Putty , Linux , SecureCRT 。下面以客户端软件 SecureCRT
14、 为例介绍 SSH 客户端的配置,配置界面如下图:图 10-1SSH 客户端配置使用协议 2 进行登陆,因此在 Protocol 选择 SSH2 , Hostname 就是要登陆的主机的 IP 地址, 这里为 192.168.1.100 , 端口为 22 即 SSH 监听的默认端口号, Username为用户名,当设备只要求密码时,该用户名不会起作用, Authentication 为认证方式,我们只支持用户名密码的认证方式。使用的密码和 Telnet 密码是壹致的。1.5 能力评价方法鉴定方式以考试为主,课堂答辩(占 10% )理论考试(占 20% ) + 实作鉴定(占70% ) ,达到 75 分为合格。
