![安全管理路由器和交换机_第1页](http://file3.renrendoc.com/fileroot_temp3/2021-12/21/ffa84410-2538-4cc0-b0ed-fcc2fc19f421/ffa84410-2538-4cc0-b0ed-fcc2fc19f4211.gif)
![安全管理路由器和交换机_第2页](http://file3.renrendoc.com/fileroot_temp3/2021-12/21/ffa84410-2538-4cc0-b0ed-fcc2fc19f421/ffa84410-2538-4cc0-b0ed-fcc2fc19f4212.gif)
![安全管理路由器和交换机_第3页](http://file3.renrendoc.com/fileroot_temp3/2021-12/21/ffa84410-2538-4cc0-b0ed-fcc2fc19f421/ffa84410-2538-4cc0-b0ed-fcc2fc19f4213.gif)
![安全管理路由器和交换机_第4页](http://file3.renrendoc.com/fileroot_temp3/2021-12/21/ffa84410-2538-4cc0-b0ed-fcc2fc19f421/ffa84410-2538-4cc0-b0ed-fcc2fc19f4214.gif)
![安全管理路由器和交换机_第5页](http://file3.renrendoc.com/fileroot_temp3/2021-12/21/ffa84410-2538-4cc0-b0ed-fcc2fc19f421/ffa84410-2538-4cc0-b0ed-fcc2fc19f4215.gif)
下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、M10-1 安全管理路由器和交换机1.1教学目的与要求1.1.1 教学目的学生通过该能力模块的学习,能够独立配置路由器和交换机上的安全功能。1.1.2 教学要求1.教学重点配置登录验证:重点讲解登录的密码不是特权密码。网络设备的登录认证是如何实现的。配置线路访问:帮助学生理解什么是线路访问。如何控制不同的线路访问验证。配置SSH认证服务:SSH和普通的telnet的区别。2.教学难点配置线路访问:学生往往很难理解线路访问与telnet访问与特权访问的区别。1.2 本能力单元涉及的知识组织1.2.1本能力单元涉及的主要知识点1、配置线路访问2、配置登录认证3、配置SSH认证服务1.2.2本能力单
2、元需要解决的问题1、按照项目的需求,重点理解线路访问与其他访问的区别;2、按照项目的需求,熟练掌握配置各种登录认证的方法;1.3 核心技术和知识的理解1.3.1 SSH 概述SSH 为 Secure Shell 的缩写,由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。传统的网络服务程序,如FTP、POP和Telnet其本质上都是不安全的;因为它们在网络上用明文传送数据、用户帐号和用户口令,很容易受到中间人(man-in-the-middle)攻击方式的攻击。就是存在另一个人或者一台机器冒充真正的服务器接收用户传给
3、服务器的数据,然后再冒充用户把数据传给真正的服务器。而SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。透过 SSH 可以对所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗。SSH之另一项优点为其传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、POP、甚至为 PPP 提供一个安全的“通道”。1.3.2 SSH 基本结构SSH协议框架中最主要的部分是三个协议:l 传输层协议(The Transport Layer Protocol):传输层协议提供服务器
4、认证,数据机密性,信息完整性等的支持。 l 用户认证协议(The User Authentication Protocol):用户认证协议为服务器提供客户端的身份鉴别。 l 连接协议(The Connection Protocol):连接协议将加密的信息隧道复用成若干个逻辑通道,提供给更高层的应用协议使用。 同时还有为许多高层的网络安全应用协议提供扩展的支持。各种高层应用协议可以相对地独立于SSH基本体系之外,并依靠这个基本框架,通过连接协议使用SSH的安全机制。1.3.3 SSH 安全验证在客户端来看,SSH提供两种级别的安全验证。第一种级别(基于密码的安全验证),知道帐号和密码,就可以登录
5、到远程主机,并且所有传输的数据都会被加密。但是,可能会有别的服务器在冒充真正的服务器,无法避免被“中间人”攻击。 第二种级别(基于密匙的安全验证),需要依靠密匙,也就是你必须为自己创建一对密匙,并把公有密匙放在需要访问的服务器上。客户端软件会向服务器发出请求,请求用你的密匙进行安全验证。服务器收到请求之后,先在你在该服务器的用户根目录下寻找你的公有密匙,然后把它和你发送过来的公有密匙进行比较。如果两个密匙一致,服务器就用公有密匙加密“质询”(challenge)并把它发送给客户端软件。从而避免被“中间人”攻击。 在服务器端,SSH也提供安全验证。 在第一种方案中,主机将自己的公用密钥分发给相关
6、的客户端,客户端在访问主机时则使用该主机的公开密钥来加密数据,主机则使用自己的私有密钥来解密数据,从而实现主机密钥认证,确定客户端的可靠身份。 在第二种方案中,存在一个密钥认证中心,所有提供服务的主机都将自己的公开密钥提交给认证中心,而任何作为客户端的主机则只要保存一份认证中心的公开密钥就可以了。在这种模式下,客户端必须访问认证中心然后才能访问服务器主机。1.4 实施过程指导1.4.1 控制console和vty访问第一步:配置访问控制列表Switch(config)#access-list 10 permit host Router(config)#access-lis
7、t 10 permit host 第二步:控制console访问Switch(config)#enable secrect level 15 ruijieSwitch(config)#line console 0Switch(config-line)#loginSwitch(config-line)#password starSwitch(config-line)#exitSwitch(config)#Router(config)#enable secrect level 15 ruijieRouter(config)#line console 0Router(confi
8、g-line)#loginRouter(config-line)#password starRouter(config-line)#exitRouter(config)#第三步:控制vty访问Switch(config)#line vty 0 4Switch(config-line)#ip access-group 10 inSwitch(config-line)#exitSwitch(config)#Router(config)#line vty 0 4Router(config-line)#ip access-group 10 inRouter(config-line)#exitRoute
9、r(config)#1.4.2 配置登录认证第一步:配置本地认证Switch(config)#username ruijie password starSwitch(config)#line console 0Switch(config-line)#login localSwitch(config-line)#exitSwitch(config)#line vty 0 4Switch(config-line)#login localSwitch(config-line)#exitSwitch(config)#Router(config)#username ruijie password sta
10、rRouter(config)#line console 0Router(config-line)#login localRouter(config-line)#exitRouter(config)#line vty 0 4Router(config-line)#login localRouter(config-line)#exitRouter(config)#第二步:配置AAA认证Switch(config)#aaa new-modelSwitch(config)#username ruijie password starSwitch(config)#aaa authentication l
11、ogin test group localSwitch(config)#line vty 0 4Switch(config-line)#login authentication testSwitch(config-line)#exitSwitch(config)#Router(config)#aaa new-modelRouter(config)#username ruijie password starRouter(config)#aaa authentication login test group localRouter(config)#line vty 0 4Router(config
12、-line)#login authentication testRouter(config-line)#exitRouter(config)#1.4.3 配置SSH认证第一步:配置SSH服务Switch(config)#enable services ssh-serverSwitch(config)#Crypto key generate rsaSwitch(config)#ip ssh version 2Switch(config)#ip ssh authentication-retries 3Switch(config)#Router(config)#enable services ssh
13、-serverRouter(config)#Crypto key generate rsaRouter(config)#ip ssh version 2Router(config)#ip ssh authentication-retries 3Router(config)#第二步:配置SSH客户您可以使用 SSH 对设备进行管理,前提是必须打开SSH SERVER 功能,默认情况下是关闭该功能的。由于Windows 自带的Telnet 组件不支持SSH,因此必须使用第三方客户端软件,当前兼容性较好的客户端包括:Putty,Linux,SecureCRT。下面以客户端软件SecureCRT 为例介绍SSH 客户端的配置,配置界面如下图:图10-1 SSH客户端配置使用协议2 进行登陆,因此在Protocol 选择SSH2,Hostn
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 《食品添加剂应用技术》第二版 课件 任务5.4 增味剂的使用
- 事业单位招录考试(职业能力倾向测验)(C类)模拟试卷1(共600题)
- 一级建造师之一建建筑工程实务过关检测试卷A卷附答案
- 理想在青春中闪光演讲稿
- 一级造价工程师《造价管理》2024年西藏拉萨市尼木县押题密卷含解析
- 求职自我介绍范文汇编15篇
- 河南省郑州外国语中学高三第一次调研测试新高考化学试卷及答案解析
- 广西贺州市中学新高考化学必刷试卷及答案解析
- 湖北省黄冈市黄州中学高三第五次模拟考试新高考化学试卷及答案解析
- 公文管理制度
- 福建省福州市晋安区2024年八年级物理第二学期期末考试试题及答案解析
- 2024反兴奋剂理论知识考核试题及答案
- 江苏省苏州市2022-2023学年八年级下学期期末英语试题(含答案)3
- 万科物业管理手册
- 行为学研究智慧树知到期末考试答案章节答案2024年云南财经大学
- 《AQ3047-2024化学品作业场所安全警示标志规范》
- 2024年四川省成都市青羊区中考数学二诊试卷(含答案)
- 环境保护产品技术要求 工业有机废气催化净化装置(HJ-T 389-2007)
- 六年级道德与法治上册作业设计案例
- 2024-2029年中国R290制冷剂行业市场现状分析及竞争格局与投资发展研究报告
- 铝合金门窗合同书
评论
0/150
提交评论