Topologia
Tabela de Endereamento
Dispositivo
Interface
Endereo IP
Mscara de Sub-rede
Gateway padro
R1
G0/1
172.16.99.1
255.255.255.0
N/A
S1
VLAN 99
172.16.99.11
255.255.255.0
172.16.99.1
PC-A
NIC
172.16.99.3
255.255.255.0
172.16.99.1
Objetivos
Parte 1: Configurar a topologia e inicializar os dispositivos
Parte 2: Definir configuraes bsicas do dispositivo e verificar a conectividade
Parte 3: Configurar e verificar o acesso SSH no S1
Histrico/cenrio
prtica comum bloquear o acesso e instalar bons recursos de segurana em PCs e servidores.
importante que os dispositivos de infraestrutura de sua rede, como switches e roteadores, tambm sejam
configurados com recursos de segurana.
Neste laboratrio, voc seguir algumas prticas recomendadas para configurar recursos de segurana nos
switches de LAN. Voc somente permitir sesses de SSH e HTTPS seguras. Voc tambm configurar e
verificar a segurana de porta para bloquear qualquer dispositivo com um endereo MAC no reconhecido
pelo switch.
Observao: o roteador usado nos laboratrios prticos CCNA o Roteador de Servios Integrados (ISR)
do Cisco 1941 com software IOS Cisco verso 15.2(4) M3 (imagem universalk9). O switch usado o Cisco
Catalyst 2960 com software IOS Cisco verso 15.0(2) (imagem lanbasek9). Outros roteadores, switches e
verses do IOS Cisco podem ser usados. Dependendo do modelo e da verso do IOS Cisco, os comandos
disponveis e a sada produzida podem diferir dos mostrados nos laboratrios. Consulte a tabela Resumo da
interface do roteador no final deste laboratrio para obter os identificadores de interface corretos.
2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contm informaes pblicas da Cisco.
Pgina 1 de 9
Recursos necessrios
1 roteador (Cisco 1941 com software IOS Cisco verso 15.2(4)M3, imagem universal ou semelhante)
1 switch (Cisco 2960 com IOS Cisco verso 15.0(2), imagem lanbasek9 ou semelhante)
Cabos de console para configurar os dispositivos IOS Cisco atravs das portas de console
2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contm informaes pblicas da Cisco.
Pgina 2 de 9
d. Atribua cisco como uma senha de console e de vty e, em seguida, habilite o login.
e. Configure um gateway padro para S1 usando o endereo IP de R1.
f.
j.
Emita o comando show vlan em S1. Qual o status da VLAN 99? ______________________
k.
Execute o comando show ip interface brief no S1. Qual o status e o protocolo da interface de
gerenciamento da VLAN 99?
____________________________________________________________________________________
Por que o protocolo continua inativo depois que voc emitiu o comando no shutdown para a interface
VLAN 99?
____________________________________________________________________________________
l.
m. Execute o comandoshow ip interface brief no S1. Quais status e protocolo so mostrados na interface
de gerenciamento da VLAN 99? _____________________________________
Observao: pode haver um atraso enquanto os estados das portas convergem.
Da S1, faa ping no endereo do gateway padro em R1. Os pings foram bem-sucedidos? _______
2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contm informaes pblicas da Cisco.
Pgina 3 de 9
Configure a entrada de transporte para as linhas vty a fim de permitir apenas conexes SSH e use o
banco de dados local para autenticao.
S1(config)# line
S1(config-line)#
S1(config-line)#
S1(config-line)#
vty 0 15
transport input ssh
login local
exit
S1(config)#
S1(config)# end
e. Verifique a configurao do SSH e responda s perguntas abaixo.
S1# show ipssh
Qual verso do SSH o switch est utilizando? _______________________
Quantas tentativas de autenticao o SSH permite? _______________________
Qual a configurao de tempo limite padro para SSH? _______________________
2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contm informaes pblicas da Cisco.
Pgina 4 de 9
Desative todas as portas fsicas no utilizadas no switch. Use o comando interface range.
S1(config)# interface range f0/1 4
S1(config-if-range)# shutdown
S1(config-if-range)# interface range f0/7 24
S1(config-if-range)# shutdown
S1(config-if-range)# interface range g0/1 2
S1(config-if-range)# shutdown
S1(config-if-range)# end
S1#
d. Execute o comando show ip interface brief no S1. Quais so os status das portas F0/1 a F0/4?
____________________________________________________________________________________
e. Emita o comando show ip http server status.
Qual o status do servidor HTTP? ___________________________
Qual porta do servidor ele est usando? ___________________________
Qual o status do servidor seguro HTTP? ___________________________
Qual porta do servidor seguro ele est usando? ___________________________
2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contm informaes pblicas da Cisco.
Pgina 5 de 9
As sesses HTTP enviam tudo em texto no criptografado. Voc desabilitar o servio HTTP em
execuo em S1.
S1(config)# no ip http server
g. Do PC-A, abra uma sesso do navegador para http://172.16.99.11. Qual foi o resultado?
____________________________________________________________________________________
h. Do PC-A, abra uma sesso de navegador segura em https://172.16.99.11. Aceite o certificado. Faa
login sem o nome de usurio e com uma senha de class. Qual foi o resultado?
____________________________________________________________________________________
i.
2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contm informaes pblicas da Cisco.
Pgina 6 de 9
:
:
:
:
:
:
:
:
:
:
:
:
Enabled
Secure-up
Shutdown
0 mins
Absolute
Disabled
1
1
1
0
0000.0000.0000:0
0
Agora, voc violar a segurana, alterando o endereo MAC na interface do roteador. Entre no modo
configurao de interface da G0/1 e o desative.
R1# config t
R1(config)# interface g0/1
R1(config-if)# shutdown
g. Configure um novo endereo MAC para a interface, usando aaaa.bbbb.cccc como o endereo.
R1(config-if)# mac-address aaaa.bbbb.cccc
h. Se possvel, deixe uma conexo de console aberta em S1 ao mesmo tempo em que executa esta Etapa.
Voc ver vrias mensagens exibidas na conexo do console para o S1, indicando uma violao de
segurana. Habilite a interface G0/1 em R1.
R1(config-if)# no shutdown
i.
Do modo EXEC privilegiado R1, faa ping no PC-A. O ping foi bem-sucedido? Por qu? Ou, por que
no?
____________________________________________________________________________________
j.
No switch, verifique a segurana de porta por meio dos comandos exibidos abaixo.
S1# show port-security
2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contm informaes pblicas da Cisco.
Pgina 7 de 9
:
:
:
:
:
:
:
:
:
:
:
:
Enabled
Secure-shutdown
Shutdown
0 mins
Absolute
Disabled
1
1
1
0
aaaa.bbbb.cccc:99
1
k.
No roteador, desative a interface G0/1, remova o endereo MAC codificado do roteador e ative
novamente a interface G0/1.
R1(config-if)#
R1(config-if)#
R1(config-if)#
R1(config-if)#
l.
shutdown
no mac-address aaaa.bbbb.cccc
no shutdown
end
Do R1, faa ping novamente no PC-A em 172.16.99.3. O ping foi bem-sucedido? ______________
m. Emita o comando show interface f0/5 para determinar a causa da falha de ping. Anote suas
descobertas.
____________________________________________________________________________________
n. Limpe o status de erro da F0/5 do S1.
S1# config t
S1(config)# interface f0/5
S1(config-if)# shutdown
2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contm informaes pblicas da Cisco.
Pgina 8 de 9
p. No prompt de comando do R1, faa novamente um ping no PC-A. Agora voc deve ser bem-sucedido.
Reflexo
1. Por que voc ativaria a segurana de porta em um switch?
_______________________________________________________________________________________
_______________________________________________________________________________________
2. Por que as portas no utilizadas em um switch devem ser desativadas?
_______________________________________________________________________________________
_______________________________________________________________________________________
Interface Ethernet 1
Interface Ethernet 2
Interface serial 1
Interface serial 2
1800
1900
2801
2811
2900
Observao: para descobrir como o roteador est configurado, analise as interfaces para identificar o tipo de
roteador e quantas interfaces ele possui. No h como listar com eficcia todas as combinaes de configurao
de cada classe de roteador. Esta tabela inclui identificadores para as possveis combinaes de interfaces
seriais e de Ethernet no dispositivo. A tabela no inclui nenhum outro tipo de interface, embora um roteador
especfico possa conter algum. Um exemplo disso poderia ser uma interface ISDN BRI. A sequncia entre
parnteses a abreviatura legal que pode ser usada nos comandos do IOS Cisco para representar a interface.
2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contm informaes pblicas da Cisco.
Pgina 9 de 9