11.6.2 Packet Tracer – Switch Security Configuration
11.6.2 Packet Tracer – Switch Security Configuration
Nama : Akbar Rizqulloh
Kelas : XI TJKT B
No Absen : 05
Laporan dalam Menyelesaikan Praktikum di Packet Tracer 11.6.2 berikut langkah-langkahnya :
Tujuan
Bagian 1: Konfigurasikan Perangkat Jaringan.
Kabel jaringan.
Konfigurasikan R1.
Konfigurasikan dan verifikasi pengaturan sakelar dasar.
Bagian 2: Konfigurasikan VLAN di Switch.
Konfigurasi VLAN 10.
Konfigurasikan SVI untuk VLAN 10.
Konfigurasikan VLAN 333 dengan nama Native pada S1 dan S2.
Konfigurasikan VLAN 999 dengan nama ParkingLot pada S1 dan S2.
Bagian 3: Konfigurasikan Keamanan Switch.
Menerapkan trunking 802.1Q.
Konfigurasikan port akses.
Amankan dan nonaktifkan switchport yang tidak digunakan.
Mendokumentasikan dan mengimplementasikan fitur keamanan pelabuhan.
Menerapkan keamanan pengintaian DHCP.
Melaksanakan penjagaan PortFast dan BPDU.
Verifikasi konektivitas ujung ke ujung.
Latar Belakang / Skenario
Ini adalah lab komprehensif untuk meninjau fitur keamanan Lapisan 2 yang telah dibahas sebelumnya.
Catatan: Router yang digunakan dengan lab praktik CCNA adalah Cisco 4221 dengan Cisco IOS XE Rilis 16.9.3(gambar universalk9). Switch yang digunakan di laboratorium adalah Cisco Catalyst 2960s dengan Cisco IOS Release 15.0(2)(gambar lanbasek9). Router, switch, dan versi Cisco IOS lainnya dapat digunakan. Tergantung pada modelnyaMdan versi Cisco IOS, perintah yang tersedia dan output yang dihasilkan mungkin berbeda dari yang ditampilkan laboratorium. Lihat Tabel Ringkasan Antarmuka Router di akhir lab untuk mengetahui pengidentifikasi antarmuka yang benar.
Catatan: Pastikan sakelar telah dihapus dan tidak memiliki konfigurasi pengaktifan. Jika Anda tidak yakin,
hubungi instruktur Anda.
Sumber Daya yang Dibutuhkan
1 Router (Cisco 4221 dengan Cisco IOS XE Rilis 16.9.3 universal image atau sebanding)
2 Switch (Cisco 2960 dengan Cisco IOS Release 15.0(2) lanbasek9 image atau sebanding)
2 PC (Windows dengan program emulasi terminal, seperti Tera Term)
Kabel konsol untuk mengkonfigurasi perangkat Cisco IOS melalui port konsol
Kabel Ethernet seperti yang ditunjukkan pada topologi
instruksi
Bagian 1: Konfigurasikan Perangkat Jaringan.
Langkah 1: Hubungkan jaringan.
A. Kabel jaringan seperti yang ditunjukkan pada topologi.
B. Inisialisasi perangkat.
Langkah 2: Konfigurasikan R1.
A. Muat skrip konfigurasi berikut di R1.
enable
configure terminal
hostname R1
no ip domain lookup
ip dhcp excluded-address 192.168.10.1 192.168.10.9
ip dhcp excluded-address 192.168.10.201 192.168.10.202
!
ip dhcp pool Students
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
domain-name CCNA2.Lab-11.6.1
!
interface Loopback0
ip address 10.10.1.1 255.255.255.0
!
interface GigabitEthernet0/0/1
description Link to S1 Port 5
ip dhcp relay information trusted
ip address 192.168.10.1 255.255.255.0
no shutdown
!
line con 0
logging synchronous
exec-timeout 0 0
B. Verifikasi konfigurasi yang berjalan pada R1 menggunakan perintah berikut:
R1# show ip interfaces brief
C. Verifikasi pengalamatan IP dan antarmuka dalam keadaan aktif/naik (pecahkan masalah seperlunya).
Tutup jendela konfigurasi
Langkah 3: Konfigurasikan dan verifikasi pengaturan sakelar dasar.
A. Konfigurasikan nama host untuk sakelar S1 dan S2.
Switch# config t
Switch(config)# hostname S1
Switch# config t
Switch(config)# hostname S2
B. Cegah pencarian DNS yang tidak diinginkan di kedua sakelar.
S1(config)# no ip domain-lookup
S2(config)# no ip domain-lookup
E. Konfigurasikan deskripsi antarmuka untuk port yang digunakan di S1 dan S2.
S1(config)# interface f0/1
S1(config-if)# description Link to S2
S1(config-if)# interface f0/5
S1(config-if)# description Link to R1
S1(config-if)# interface f0/6
S1(config-if)# description Link to PC-A
S2(config)# interface f0/1
S2(config-if)# description Link to S1
S2(config-if)# interface f0/18
S2(config-if)# description Link to PC-B
A. Tetapkan gateway default untuk VLAN Manajemen ke 192.168.10.1 di kedua switch.
S1(config)# ip default-gateway 192.168.10.1
S2(config)# ip default-gateway 192.168.10.1
Bagian 2: Konfigurasikan VLAN di Switch.
Langkah 1: Konfigurasikan VLAN 10.
Tambahkan VLAN 10 ke S1 dan S2 dan beri nama Manajemen VLAN.
S1(config)# vlan 10
S1(config-vlan)# name Management
S2(config)# vlan 10
S2(config-vlan)# name Management
Langkah 2: Konfigurasikan SVI untuk VLAN 10.
Konfigurasikan alamat IP sesuai Tabel Pengalamatan SVI untuk VLAN 10 pada S1 dan S2. Aktifkan
antarmuka SVI dan memberikan deskripsi untuk antarmuka.
S1(config)# interface vlan 10
S1(config-if)# ip address 192.168.10.201 255.255.255.0
S1(config-if)# description Management SVI
S1(config-if)# no shutdown
S2(config)# interface vlan 10
S2(config-if)# ip address 192.168.10.202 255.255.255.0
S2(config-if)# description Management SVI
S2(config-if)# no shutdown
Langkah 3: Konfigurasikan VLAN 333 dengan nama Native di S1 dan S2.
S1(config)# vlan 333
S1(config-vlan)# name Native
S2(config)# vlan 333
S2(config-vlan)# name Native
Langkah 4: Konfigurasikan VLAN 999 dengan nama ParkingLot di S1 dan S2.
S1(config-vlan)# vlan 999
S1(config-vlan)# name ParkingLot
S2(config-vlan)# vlan 999
S2(config-vlan)# name ParkingLot
Bagian 3: Konfigurasikan Keamanan Switch.
Langkah 1: Terapkan trunking 802.1Q.
A. Di kedua switch, konfigurasikan trunking pada F0/1 untuk menggunakan VLAN 333 sebagai VLAN asli.
S1(config)# interface f0/1
S1(config-if)# switchport mode trunk
S1(config-if)# switchport trunk native vlan 333
S2(config)# interface f0/1
S2(config-if)# switchport mode trunk
S2(config-if)# switchport trunk native vlan 333
B. Verifikasi bahwa trunking dikonfigurasi pada kedua sakelar.
S1# show interface trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 333
Port Vlans allowed on trunk
Fa0/1 1-4094
Port Vlans allowed and active in management domain
Fa0/1 1,10,333,999
Port Vlans in spanning tree forwarding state and not pruned
Fa0/1 1,10,333,999
S2# show interface trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 333
Port Vlans allowed on trunk
Fa0/1 1-4094
Port Vlans allowed and active in management domain
Fa0/1 1,10,333,999
Port Vlans in spanning tree forwarding state and not pruned
C. Nonaktifkan negosiasi DTP pada F0/1 pada S1 dan S2.
S1(config)# interface f0/1
S1(config-if)# switchport nonegotiate
S2(config)# interface f0/1
S2(config-if)# switchport nonegotiate
D. Verifikasi dengan perintah show interfaces.
S1# show interfaces f0/1 switchport | include Negotiation
Negotiation of Trunking: Off
S2# show interfaces f0/1 switchport | include Negotiation
Negotiation of Trunking: Off
Langkah 2: Konfigurasikan port akses.
A. Pada S1, konfigurasikan F0/5 dan F0/6 sebagai port akses yang terkait dengan VLAN 10.
S1(config)# interface range f0/5-6
S1(config-if)# switchport mode access
S1(config-if)# switchport access vlan 10
B. Di S2, konfigurasikan F0/18 sebagai port akses yang terkait dengan VLAN 10.
S2(config)# interface f0/18
S2(config-if)# switchport mode access
S2(config-if)# switchport access vlan 10
Langkah 3: Amankan dan nonaktifkan switchport yang tidak digunakan.
A. Pada S1 dan S2, pindahkan port yang tidak digunakan dari VLAN 1 ke VLAN 999 dan nonaktifkan port yang tidak digunakan.
S1(config)# interface range f0/2-4 , f0/7-24, g0/1-2
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan 999
S1(config-if-range)# shutdown
S2(config)# interface range f0/2-17 , f0/19-24, g0/1-2
S2(config-if-range)# switchport mode access
S2(config-if-range)# switchport access vlan 999
S2(config-if-range)# shutdown
B. Verifikasi bahwa port yang tidak digunakan dinonaktifkan dan dikaitkan dengan VLAN 999 dengan mengeluarkan perintah show.
S1#show interfaces status
S2#show interfaces status
Langkah 4: Dokumentasikan dan terapkan fitur keamanan port.
Antarmuka F0/6 pada S1 dan F0/18 pada S2 dikonfigurasi sebagai port akses. Pada langkah ini, Anda juga akan melakukannya
konfigurasikan keamanan port pada dua port akses ini.
A. Pada S1, jalankan perintah show port-security interface f0/6 untuk menampilkan pengaturan keamanan port default untuk antarmuka F0/6. Catatlah jawaban Anda pada tabel di bawah ini.
S1# show port-security interface f0/6
B. Pada S1, aktifkan keamanan port pada F0/6 dengan pengaturan berikut:
o Maximum number of MAC addresses: 3
o Violation type: restrict
o Aging time: 60 min
o Aging type: inactivity
S1(config)# interface f0/6
S1(config-if)# switchport port-security
S1(config-if)# switchport port-security maximum 3
S1(config-if)# switchport port-security violation restrict
S1(config-if)# switchport port-security aging time 60
S1(config-if)# switchport port-security aging type inactivity
C. Verifikasi keamanan port pada S1 F0/6.
S1# show port-security interface f0/6
S1# show port-security address
Keamanan Port : Diaktifkan
Status Pelabuhan : Aman
Modus Pelanggaran : Batasi
Waktu Penuaan: 60 menit
Tipe Penuaan : Tidak aktif
Penuaan Alamat SecureStatic : Dinonaktifkan
Alamat MAC Maksimum : 3
Jumlah Alamat MAC : 1
Alamat MAC yang Dikonfigurasi: 0
Alamat MAC Lengket : 0
Alamat Sumber Terakhir:Vlan : 0022.5646.3411:10
Jumlah Pelanggaran Keamanan : 0
S1# menunjukkan alamat keamanan port
Tabel Alamat Mac Aman
--------------------------------------------------- ---------------------------
Usia Port Jenis Alamat Vlan Mac yang Tersisa
(menit)
---- ----------- ---- ----- -------------
10 0022.5646.3411 SecureDynamic Fa0/6 60 (I)
--------------------------------------------------- ---------------------------
Total Alamat di Sistem (tidak termasuk satu mac per port): 0
Batas Alamat Maks di Sistem (tidak termasuk satu mac per port): 8192
D. Aktifkan keamanan port untuk F0/18 di S2. Konfigurasikan port untuk menambahkan alamat MAC yang dipelajari di port tersebut secara otomatis ke konfigurasi yang sedang berjalan.
S2(config)# interface f0/18
S2(config-if)# switchport port-security
S2(config-if)# switchport port-security mac-address sticky
E. Konfigurasikan pengaturan keamanan port berikut pada S2 F/18:
o Jumlah maksimum alamat MAC: 2
o Jenis pelanggaran: Lindungi
o Waktu penuaan: 60 menit
S2(config)# interface f0/18
S2(config-if)# switchport port-security aging time 60
S2(config-if)# switchport port-security maximum 2
S2(config-if)# switchport port-security violation protect
F. Verifikasi keamanan port pada S2 F0/18.
S2# show port-security interface f0/18
S2# show port-security address
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Protect
Aging Time : 60 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0022.5646.3413:10
Security Violation Count : 0
S2# show port-security address
Secure Mac Address Table
-----------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
10 0022.5646.3413 SecureSticky Fa0/18 -
-----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192
Langkah 5: Terapkan keamanan pengintaian DHCP.
A. Di S2, aktifkan pengintaian DHCP dan konfigurasikan pengintaian DHCP di VLAN 10.
S2(config)# ip dhcp snooping
S2(config)# ip dhcp snooping vlan 10
B. Konfigurasikan port trunk di S2 sebagai port tepercaya.
S2(config)# interface f0/1
S2(config-if)# ip dhcp snooping trust
C. Batasi port tidak tepercaya, F18 di S2, hingga lima paket DHCP per detik.
S2(config)# interface f0/18
S2(config-if)# ip dhcp snooping limit rate 5
D. Verifikasi DHCP Snooping di S2.
S2# show ip dhcp snooping
Switch pengintaian DHCP diaktifkan
Pengintaian DHCP dikonfigurasi pada VLAN berikut:
10
Pengintaian DHCP beroperasi pada VLAN berikut:
10
Pengintaian DHCP dikonfigurasi pada Antarmuka L3 berikut:
Penyisipan opsi 82 diaktifkan
format default sirkuit-id: vlan-mod-port
id jarak jauh: 0cd9.96d2.3f80 (MAC)
Opsi 82 pada port tidak tepercaya tidak diperbolehkan
Verifikasi bidang hwaddr diaktifkan
Verifikasi bidang giaddr diaktifkan
Kepercayaan/tingkat pengintaian DHCP dikonfigurasi pada Antarmuka berikut:
Antarmuka Tepercaya Izinkan opsi Batas tarif (pps)
-------- ------- ------------ -------- --------
FastEthernet0/1 ya ya tidak terbatas
Id sirkuit khusus:
FastEthernet0/18 tidak, tidak 5
Id sirkuit khusus:
e. Dari command prompt di PC-B, lepaskan lalu perbarui alamat IP.
C:\Users\Student> ipconfig /release
C:\Users\Student> ipconfig /renew
F. Verifikasi pengikatan pengintaian DHCP menggunakan perintah pengikatan pengintaian show ip dhcp.
S2# show ip dhcp snooping binding
MacAddress IpAddress Sewa (dtk) Jenis Antarmuka VLAN
------------------ --------------- ---------- ------- ------ ---- ----------------
----
00:50:56:90:D0:8E 192.168.10.11 86213 dhcp-mengintai 10 FastEthernet0/18
Jumlah total pengikatan: 1
Langkah 6: Terapkan penjaga PortFast dan BPDU.
A. Konfigurasikan PortFast di semua port akses yang digunakan di kedua switch.
S1(config)# interface range f0/5-6
S1(config-if)# spanning-tree portfast
S2(config)# interface f0/18
S2(config-if)# spanning-tree portfast
B. Aktifkan pelindung BPDU pada port akses S1 dan S2 VLAN 10 yang terhubung ke PC-A dan PC-B.
S1(config)# interface f0/6
S1(config-if)# spanning-tree bpduguard enable
S2(config)# interface f0/18
S2(config-if)# spanning-tree bpduguard enable
C. Verifikasi bahwa penjaga BPDU dan PortFast diaktifkan pada port yang sesuai.
S1# show spanning-tree interface f0/6 detail
Port 8 (FastEthernet0/6) dari VLAN0010 ditetapkan sebagai penerusan
Biaya jalur port 19, Prioritas port 128, Pengidentifikasi Port 128.6.
<keluaran dihilangkan agar singkatnya>
Jumlah transisi ke status penerusan: 1
Port berada dalam mode portfast
Tipe tautan adalah titik-ke-titik secara default
Penjaga Bpdu diaktifkan
BPDU: dikirim 128, diterima 0
Langkah 7: Verifikasi konektivitas ujung ke ujung.
Verifikasi konektivitas PING antara semua perangkat di Tabel Pengalamatan IP. Jika ping gagal, Anda mungkin perlu melakukannya
nonaktifkan firewall pada host PC.
.png)
Komentar
Posting Komentar