在本练习中,您将配置OSPF MD5身份验证以实现安全的路由更新。
NTP服务器是本次活动中主NTP服务器。您需要在NTP服务器和路由器上配置身份验证,并设置路由器允许软件时钟通过NTP与时间服务器同步。同时,您还需要配置路由器定期使用从NTP获取的时间更新硬件时钟。
Syslog服务器在此活动提供消息记录功能。您需要配置路由器识别接收日志消息的远程主机(即Syslog服务器)。
您需要在路由器上配置时间戳服务以便于记录日志。在使用Syslog监控网络时,在Syslog消息中显示正确的日期和时间至关重要。
此外,您还将配置R3路由器,使其能够通过SSH而非Telnet进行安全管理。服务器已经预先配置好了相应的NTP和Syslog服务,NTP无需身份验证。路由器已预设了以下密码:
启用密码:ciscoenpa55
vty线路密码:ciscovtypa55
注意:请注意,在开发本活动所使用的Packet Tracer版本(v6.2)中,MD5是最强支持的加密方式。虽然MD5存在已知的安全漏洞,但在实际操作中应根据组织的安全需求选择合适的加密方法。在本活动中,安全要求指定使用MD5加密。
步骤1:测试连通性。所有设备应能成功ping通所有其他IP地址。
步骤2:为区域0内的所有路由器配置OSPF MD5身份验证。
针对区域0中的所有路由器设置OSPF MD5身份验证:
R1(config)# router ospf 1
R1(config-router)# area 0 authentication message-digest
R2(config)#router ospf 1
R2(config-router)#area 0 authentication message-digest
R3(config)#router ospf 1
R3(config-router)#area 0 authentication message-digest
步骤3:为区域0内的所有路由器配置MD5密钥。
在R1、R2和R3的串行接口上配置MD5密钥,对密钥1使用密码MD5pa55。
R1(config)# interface s0/0/0
R1(config-if)# ip ospf message-digest-key 1 md5 MD5pa55
R2(config)#interface Serial0/0/0
R2(config-if)#ip ospf message-digest-key 1 md5 MD5pa55
R2(config)#interface Serial0/0/1
R2(config-if)#ip ospf message-digest-key 1 md5 MD5pa55
R3(config)#interface Serial0/0/1
R3(config-if)#ip ospf message-digest-key 1 md5 MD5pa55
步骤4:验证配置。
a. 使用命令show ip ospf interface
验证MD5身份验证配置是否正确生效。
b. 验证端到端的连通性,确保网络连接无误。
步骤1:在PC-A上启用NTP身份验证。
a. 在PC-A上,点击服务标签下的“NTP”以确认NTP服务已启用。
b. 为配置NTP身份验证,请点击“认证”下的“启用”。使用密钥1和密码NTPpa55进行身份验证。
步骤2:将R1、R2和R3配置为NTP客户端。
R1(config)#ntp server 192.168.1.5 key 1
R2(config)#ntp server 192.168.1.5 key 1
R3(config)#ntp server 192.168.1.5 key 1
通过执行命令show ntp status
来验证客户端配置是否正确。
步骤3:配置路由器定期更新硬件时钟。
设置R1、R2和R3路由器定期从NTP同步的时间更新硬件时钟。
R1(config)#ntp update-calendar
R2(config)#ntp update-calendar
R3(config)#ntp update-calendar
退出全局配置模式,并使用命令show clock
来验证硬件时钟是否已成功更新。
步骤4:在路由器上配置NTP身份验证。
在R1、R2和R3上使用密钥1和密码NTPpa55配置NTP身份验证。
R1(config)# ntp authenticate
R1(config)# ntp trusted-key 1
R1(config)# ntp authentication-key 1 md5 NTPpa55
R2(config)# ntp authenticate
R2(config)# ntp trusted-key 1
R2(config)# ntp authentication-key 1 md5 NTPpa55
R3(config)# ntp authenticate
R3(config)# ntp trusted-key 1
R3(config)# ntp authentication-key 1 md5 NTPpa55
步骤5:配置路由器对日志消息添加时间戳。
在路由器上配置日志记录的时间戳服务。
R1(config)#service timestamps log datetime msec
R2(config)#service timestamps log datetime msec
R3(config)#service timestamps log datetime msec
步骤1:配置路由器以识别接收日志消息的远程主机(即Syslog服务器)。
路由器控制台将会显示一条消息,表明已经开始记录日志。
R1(config)#logging 192.168.1.6
R2(config)#logging 192.168.1.6
R3(config)#logging 192.168.1.6
步骤2:验证日志配置。
使用命令show logging
来验证是否已启用日志记录功能。
步骤3:检查Syslog服务器的日志记录。
在Syslog服务器对话框的服务标签下,选择“Syslog服务”按钮。观察从路由器接收到的日志消息。
注意:通过在路由器上执行命令可以生成服务器上的日志消息。例如,进入和退出全局配置模式会生成一个信息性配置消息。您可能需要点击其他服务,然后再点击Syslog以刷新消息显示界面。
步骤1:配置域名
在R3上配置一个域名ccnasecurity.com。
R3(config)#ip domain-name ccnasecurity.com
步骤2:配置R3上SSH服务器的登录用户
创建一个用户名为SSHadmin,具有最高权限级别的用户ID,并设置秘密密码为ciscosshpa55。
R3(config)# username SSHadmin privilege 15 secret ciscosshpa55
步骤3:配置R3上的入站vty线路
要求使用本地用户账户进行强制登录和验证,只接受SSH连接。
R3(config)#line vty 0 4
R3(config-line)# login local
R3(config-line)# transport input ssh
步骤4:删除R3上的现有密钥对
如有任何现有的RSA密钥对,应在路由器上将其删除。
R3(config)#crypto key zeroize rsa
注:如果不存在任何密钥,您可能会收到此消息:% No Signature RSA Keys found in configuration.
步骤5:为R3生成RSA加密密钥对
路由器使用RSA密钥对进行SSH传输数据的身份验证和加密。配置RSA密钥时,选择模数为1024(默认值为512,范围为360至2048)。
R3(config)# crypto key generate rsa
The name for the keys will be: R3.ccnasecurity.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
注:在Packet Tracer中为R3生成RSA加密密钥对的命令与实验室中的有所不同。
步骤6:验证SSH配置
使用show ip ssh
命令查看当前设置,确保身份验证超时和重试次数保持默认值120和3。
步骤7:配置SSH超时和认证参数
可以更改默认的SSH超时和认证参数使其更加严格。将超时时间设置为90秒,认证重试次数设为2次,版本设为2。
R3(config)#ip ssh version 2
R3(config)#ip ssh authentication-retries 2
R3(config)#ip ssh time-out 90
再次执行show ip ssh
命令确认这些值已更改。
步骤8:尝试从PC-C通过Telnet连接到R3
打开PC-C的桌面,选择“命令提示符”图标。从PC-C输入命令通过Telnet连接到R3。
PC> telnet 192.168.3.1
此连接应失败,因为R3已被配置为仅在其虚拟终端线上接受SSH连接。
步骤9:通过SSH从PC-C连接到R3
打开PC-C的桌面,选择“命令提示符”图标。从PC-C输入命令通过SSH连接到R3。当提示输入密码时,请输入为管理员账户配置的密码ciscosshpa55。
PC> ssh -l SSHadmin 192.168.3.1
步骤10:通过R2使用SSH连接到R3
为了对R3进行故障排查和维护,ISP的管理员必须使用SSH访问路由器CLI。在R2的CLI中,输入命令通过SSH版本2使用SSHadmin用户账户连接到R3。当提示输入密码时,请输入为管理员配置的密码ciscosshpa55。
R2# ssh -v 2 -l SSHadmin 10.2.2.1
步骤11:检查结果
您的完成百分比应为100%。点击“检查结果”以查看反馈信息和已完成所需组件的验证情况。
# PART1
R1:
router ospf 1
area 0 authentication message-digest
interface Serial0/0/0
ip ospf message-digest-key 1 md5 MD5pa55
R2:
router ospf 1
area 0 authentication message-digest
interface Serial0/0/0
ip ospf message-digest-key 1 md5 MD5pa55
interface Serial0/0/1
ip ospf message-digest-key 1 md5 MD5pa55
R3:
router ospf 1
area 0 authentication message-digest
interface Serial0/0/1
ip ospf message-digest-key 1 md5 MD5pa55
# PART2
# 打开NTP服务器,配置NTP服务。
R1:
ntp authentication-key 1 md5 NTPpa55
ntp authenticate
ntp trusted-key 1
ntp server 192.168.1.5 key 1
ntp update-calendar
service timestamps log datetime msec
R2:
ntp authentication-key 1 md5 NTPpa55
ntp authenticate
ntp trusted-key 1
ntp server 192.168.1.5 key 1
ntp update-calendar
service timestamps log datetime msec
R3:
ntp authentication-key 1 md5 NTPpa55
ntp authenticate
ntp trusted-key 1
ntp server 192.168.1.5 key 1
ntp update-calendar
service timestamps log datetime msec
# PART3
R1:
logging 192.168.1.6
R2:
logging 192.168.1.6
R3:
logging 192.168.1.6
# PART4
R3:
ip ssh version 2
ip ssh authentication-retries 2
ip ssh time-out 90
ip domain-name ccnasecurity.com
username SSHadmin privilege 15 secret ciscosshpa55
crypto key zeroize rsa
crypto key generate rsa
line vty 0 4
login local
transport input ssh