8-laboratoriya ish uchun topshiriq
8 – laboratoriya ishi
Mavzu: Marshrutizatorlarda NAT/PAT texnologiyasini sozlash
Ishdan maqsad: Manzillarni translatsiya qilish (NAT)
tamoyillari va
vazifalarini tadqiq qilish va amaliy ko`nikmaga ega bo‘lish.
Topshiriq
– Cisco packet tracer muhiti asosida tarmoqni tuzilishini yarating
– Tamoqdag har bir R1, R2 marshrutizatorlarining interfeyslarini sozlang
va tekshiring
– Statik NAT bo`yicha tarmoq konfiguratsiyalarini sozlang va tekshiring
– Dinamik NAT bo`yicha tarmoq konfiguratsiyalarini sozlang va tekshiring
– PAT bo`yicha tarmoq konfiguratsiyalarini sozlang va tekshiring
Qisqacha nazariy ma‟lumotlar
NAT (Network Address Translation) - bu TCP / IP tarmoqlarida tranzit
paketlarning IP-manzillarini translatsiya qilish (o‘zgartirish, almashtirish) imkonini
beradigan mexanizm. NAT bu TCP/IP tarmoqlarida, paketlarning IP addressini bir
tarmoq segmentidan boshqa tarmoq segmentiga o'tish paytida o'zgartirish
texnologiyasidir. NAT da xususiy (Private) IP manzilni ro'yxatdan o'tkazilgan
ommaviy (Public) IP manzilga translatsiya qilishdan iborat. Umuman olganda,
tarmoqda 2 xil ip adreslar ishlatiladi:
1.Public - ommaviy adreslar(Белый ip-аdres)
2.Private – xususiy adreslar(Серый ip-аdres)
78
Xususiy ip adreslar – bu lokal tarmoqda ishlatiladigan ip adreslar
hisoblanadi. Deyarli barcha ishxonalarda quyidagi 3 xil diapozondagi xususiy ip
adreslar ishlatiladi:
10.0.0.0/8 (10 dan boshlanadigan ip adreslar)
172.16.0.0/12 (172.16.0.0 dan 172.31.255.255 gacha)
192.168.0.0/16 (192.168.0.0 dan 192.168.255.255 gacha)
Public (ommaviy) adreslarga misol qilib quyidagilarni ko‘rsatishimiz mumkin:
Nimaga
bunday
bo‘lingan?
Lokal
tarmoqdagi
ip
adreslar
marshrutizatsiyalanmaydi. Public ip adreslar marshrutizatsiyanadi. Bu degani
yuqoridagi 3 ta diapozondagi ip adreslarga internet orqali boshqa joyidan turib
ulanib bo‘lmaydi. Public ip adreslarga ulanib bo‘ladi. Shuning uchun vebserverlar, onlayn o‘yin serverlari va boshqalar public ip adresga ega.
8.1-rasm. Manzillarni translatsiya qilish
NAT texnologiyasining 2 ta asosiy vazifasi mavjud:
1. Ichki tarmoq ip adreslarini tashqi tarmoqqa ko'rsatmaslik.
2. Ipv4 adreslarning yetmay qolish muammosini ma'lum darajada hal etish.
79
Bundan tashqari NATning bir necha nomlari bor: IP Masquerading,
Network Masquerading va Native Address Translation. Translatsiya IP-manzil
yoki port raqamlari bo`yicha amalga oshiriladi. Ushbu texnologiya bir tomondan,
IPv4 manzillarining yetishmasligini oldini oladi hamda boshqa tomondan
tarmoqning xavfsizligini oshirish imkoniyatini yaratadi.
NAT ko'pincha korporativ tarmoqdagi qurilmalar uchun, Internet tarmog‘iga
ulanish uchun yoki aksincha Internetdan LAN tarmoq ichidagi istalgan manbaga
kirish uchun qo‘llaniladi.
Manzillarni translatsiya qilishning uchta asosiy turi mavjud:
– statik (Static Network Address Translation);
– dinamik (Dynamic Address Translation);
– PAT (NAPT, NAT Overload, PAT).
8.2-rasm. Manzillarni translatsiya qilish mexanizmi
1. Static Network Address Translation
80
Statik NAT - ro'yxatdan o'tmagan IP manzilni ro'yxatdan o'tkazilgan IP
manzilga yakka tartibda translatsiya qilishdan iborat, yani bitta hususiy (Private)
manzilga bitta ommaviy (Public) manzil to‘gri keladi.
Statik NAT bo`yicha ishni bajarish tartibi
Cisco IOS Routerlarida NATni sozlash quyidagi bosqichlarni o'z ichiga
oladi
1. Ichki va tashqi interfeyslarni tayinlang
2. Translatsiya kim uchun (qaysi IP manzillari) amalga oshirilishini aniqlang.
3. Qaysi translatsiya ishlatishni tanlang
4. Translatsiyani tekshiring
8.3 – rasm. Statik NAT tamoyili asosida qurilgan tarmoq tuzilishi
Birinchi navbatda 8.3 - rasmdagi tarmoq topologiyasi bo‘yicha Router1 va
Router2 larga ixtiyoriy yo‘nalishda ip route beriladi. Chunki Internetdagi
qismidagi IP - adresslarni oldindan bilmaymiz.
Router1(config)#ip route 0.0.0.0 0.0.0.0 11.11.11.2
Router2(config)#ip route 0.0.0.0 0.0.0.0 11.11.11.1
81
8.4-rasm. Manzillarni translatsiyasi bo‘yicha olingan natijalar
NAT-statik konfiguratsiyasini Router1 ga sozlash uchun birinchi navbatda
translyatsiya bo‘luvchi manzilar ko`rsatiladi, yani Private 192.168.1.2 IP-adres
manzilni Public 195.158.1.10 manzilga yoki Private 192.168.1.3 manzil Public
195.158.1.11 manzilga translyatsiya qilinadi.
Router1(config)#ip nat inside source static 192.168.1.2 195.158.1.10
Router1(config)#ip nat inside source static 192.168.1.3 195.158.1.11
Keyingi jarayon Statik NAT ni kiruvchi va chiquvchi router interfesga
biriktiriladi.
Router1(config)#interface fastEthernet 0/1
Router1(config-if)#ip nat outside
Router1(config-if)#exit
Router1(config)#interface fastEthernet 0/0
Router1(config-if)#ip nat inside
Router1(config-if)#end
Router1#show ip nat translations
Bu yerda: 192.168.1.2 manzil-lokal tarmoqdagi PC mazili hisoblanadi. Shu
Private manzilini internetga chiqishi uchun Public manziliga (195.158.1.10)
o‘zgartirildi. Bu jarayonda faqat bitta PC 1 manzil internetga ulana oladi, ammo
82
boshqa PC internetga ulana olmaydi. Agar boshqa PC lar tashqi tarmoqqa chiqishi
uchun shu holat qayta takrorlanadi. Manzillarni translatsiya jarayonini ko‘rish
uchun quyidagi komandalar orqali amalga oshiriladi:
Router1# show ip nat translations
Router1# show ip nat statistics
8.5-rasm. Manzillarni translatsiyasi bo‘yicha olingan natijalar
2. Dynamic Address Translation
Dinamik NAT - ro'yxatdan o'tmagan IP manzilni ro'yxatdan o'tgan IPmanzillar guruhiga translatsiya qilishdan iborat.
Dinamik NAT ning Statik NAT dan farqi shuki, bu yerda bir nechta xususiy
(Private) adresga bir nechta ommaviy (public) adreslar to‗gri keladi. Ushbu
holatni amalga oshirish uchun access list va Pool dan foydalanimiz
Dinamik NAT bo`yicha ishni bajarish tartibi
83
8.6 – rasm. Dinamik NAT tamoyili asosida qurilgan tarmoq tuzilishi
Birinchi navbatda Router1 va Router2 larga statik ip route beriladi. Chunki
internet qismidagi adreslarni oldindan bilmaymiz.
Router1(config)#ip route 0.0.0.0 0.0.0.0 11.11.11.2
Router2(config)#ip route 0.0.0.0 0.0.0.0 11.11.11.1
195.158.1.1 dan 195.158.1.10 gacha public IP adreslarni tarqatishimiz
uchun TATU nomli Pool yaratamiz.
Router(config)#ip nat pool TATU 195.158.1.1 195.158.1.10 netmask
255.255.255.240
LAN tarmoqlar ichida aynan 192.168.1.0/24 tarmoq internetga chiqishi
uchun Access list foydalanamiz
Router1(config)#access-list 10 permit 192.168.1.0 0.0.0.255
Access list ni TATU nomli yaratilgan NAT ga biriktiramiz.
Router1(config)#ip nat inside source list 10 pool TATU
Router ning kirish va chiqish portlariga NAT ni biriktiramiz
Router1(config)#interface fastEthernet 0/0
Router1(config-if)#ip nat inside
Router1(config-if)#exit
Router1(config)#interface fastEthernet 0/1
84
Router1(config-if)#ip nat outside
Router1(config-if)#exit
Router1# show ip nat translations
85
Router1#show running-config
8.7-rasm. Manzillarni translatsiyasi bo‘yicha olingan natijalar
3. NAPT, NAT Overload, PAT
PAT- dinamik NATning bir shakli bo'lib, bir nechta ro'yxatdan o'tmagan
manzillarni turli xil portlardan foydalangan holda bitta ro'yxatdan o'tgan IP
manzilga translatsiya qilishdan iborat.
PAT bo`yicha ishni bajarish tartibi
8.5 – rasm. PAT tamoyili asosida qurilgan tarmoq tuzilishi
86
Router1(config)#ip route 0.0.0.0 0.0.0.0 12.12.12.2
Router1(config)#ip nat pool nad_pat 195.158.1.1
195.158.1.4
255.255.255.240
Router1(config)#access-list 10 permit 192.168.1.0 0.0.0.255
Router1(config)#ip nat inside source list 10 pool nad_pat overload
Router1(config)#interface fastEthernet 0/0
Router1(config-if)#ip nat inside
Router1(config-if)#exit
Router1(config)#interface fastEthernet 0/1
Router(config-if)#ip nat outside
Router(config-if)#exit
Router(config)#end
Router#copy run startup-config
Router 2 konfiguratsiyasi
Router(config)#ip route 0.0.0.0 0.0.0.0 12.12.12.1
87
netmask
LAN tarmog`idagi barcha Private adreslar bitta 195.158.1.1 Public adres
orqali translatsiya bo`ladi faqat port har xil.
Nazorat savollari
1.
Manzillarni translatsiya qilish (NAT) usullarini keltiring?
2.
Statik NAT Dinamik NAT dan qanday farqlanadi?
3.
PAT ning ishlash prinsipini tushuntirib bering.
4.
Tarmoqda qanday turdagi manzillar mavjud.
9-laboratoriya ishi
Mavzu: Tarmoqni himoyalash protokollari SCP, SNMP ni sozlash va log
fayllarni tadqiq etish
Ishdan maqsad: Ushbu laboratoriya ishi quyidagilar uchun mo‘ljallangan:
 tarmoqni himoyalash protokollari SCP, SNMP ni sozlashni o‘rganish;
 Log fayllarni tadqiq etish. Syslog serverini sozlashni o‘rganish.
88
Qisqacha nazariy ma‟lumotlar
Tarmoqni himoyalash protokollari SCP va SNMP
Oldingi ishlarda aytib ketilganidek, Telnet dan foydalanish juda xavfli.
Chunki, bunda barcha ma‘lumotlar ochiq ko‘rinishda uzatiladi va buzg‘unchi
ularni osonlik bilan egallab olishi mumkin. Telnet ga alternativ sifatida SHH
protokoli taklif qilingan bo‘lib, unda barcha ma‘lumotlar shifrlanadi. HTTP va
HTTPS protokollarida ham shunga o‘xshash holat.
Biroq, tarmoq qurilmalari bilan ishlashda yo‘qorida keltirilgan protokollarga
kamdan-kam murojat qilinadi. Quyida biz ularning ko‘proq himoyalangan
versiyalari hisoblangan yana bir nechta mashhur protokollarni ko‘rib chiqamiz.
SCP
Tizim administratorlari oldida qurilmalarning proshivkalarini qayta yuklash
bo‘yicha vazifalar judayam tez-tez yuzaga keladi. Buning uchun qurilmaga yangi
proshivkani ―tashlash‖ kerak bo‘ladi, bu odatda TFTP yoki FTP-server yordamida
qilinadi. Texnologiya juda eski hisoblanadi, ammo bunday serverlar bir nechta
harakat bilan kuchaytirilishi mumkin.
Ushbu protokollar (TFTP va FTP) yana qurilmalar konfiguratsiyalarini
Zahira nusxalash uchun ko‘p ishlatiladi. Shubhasiz ko‘pchilik quyidagiga o‘xshash
buyruqlar bilan tanish:
Router#copy running-config tftp:
Ushbu buyruq bilan biz joriy konfiguratsiyani masofviy TFTP-serverga
nusxalaydi.
Yoki teskari holat, TFTP yoki FTP-server konfiguratsiyani qayta tiklash
uchun ishlatiladi:
Router#copy tftp: running-config
Ammo ahamiyatli konfiguratsiya bilan ishlashda himoyalanmagan TFTP
yoki FTP-serverlardan foydalanish umuman mumkin emas. Telnet protokoliga
o‘xshab, ushbu protokollar barcha ma‘lumotlarni ochiq ko‘rinishda uzatadi, bu
buzg‘unchiga
juda
qimmatli
axborotni
89
–
sizning
qurilmangizning
konfiguratsiyasini egallab olish imkonini beradi. Bunday muammoni yechish
uchun SCP singari yaxshiroq himoyalangan protocol mavjud.
SCP (secure copy) – fayllarni nusxalash protokoli, u transport sifatida SHH
ni ishlatadi (ya‘ni, barcha uzatiluvchi fayllar shifrlanadi). Ushbu protocol ishlashi
uchun SCP-server za‘rur. SSH-server xizmati yoqilgan istalgan Linux distributivi
SCP-server hisoblanadi. Windows uchun SCP-server sifatida maxsus dasturiy
ta‘minotlar mavjud, masalan Solarwinds SFTP/SCP server (bepul versiyalari
mavjud). Zahira nusxalash jaroyonining o‘zi quyidagicha amalga oshiriladi:
Router#copy running-config scp://user:password@192.168.1.100/CiscoConf/Router1.config
Ushbu buyruq bilan biz 192.168.1.100 ip-adresli SCP-serverning CiscoConf deb nomlangan papkasiga joriy konfiguratsiyani nusxalaymiz, fayl esa
Router1.config degan nom oladi. SCP-serverga ulanish uchun serverda oldindan
yaratilgan login va parol ishlatiladi. Bunda barcha uzatiluvchi axborot shifrlanadi.
SNMP
SNMP – Simple Network Management Protocol. Agar so‘zma-so‘z
tarjima qilsak, ―oddiy tarmoqni boshqarish protokoli‖ jumlasi kelib chiqadi.
Bunday nomlanishiga qaramasdan, ushbu protokol aynan boshqarish uchun juda
kamdan-kam ishlatiladi. SNMP ko‘pincha monitoring (protsessor temperaturasi,
kanal yuklanishi, bo‘sh operativ xotira va boshqalar) uchun ishlatiladi.
Protokolning uch versiyasi mavjud: SNMPv1, SNMPv2c va SNMPv3.
Batafsil tahlil qilmasdan shu xulosani keltirish mumkinki, SNMPv3 paydo
bo‘lgangacha SNMP ning asosiy muammosi aynan xavfsizlik bo‘lgan.
Protokolning dastlabki ikkita versiyasi juda kuchsiz autentifikatsiya mexanizmiga
ega, mohiyatan u ochiq ko‘rinishda uzatiladigan faqatgina bitta parol (birikmalar
qatori) dan tashkil topgan. Bu juda jiddiy zaiflik, buzg‘unchi ushbu parolni qo‘lga
kiritish imkoniyatiga ega bo‘ladi, undan keyin u SNMP ishga tushirilgan
qurilmadan barcha zaruriy axborotlarni olishi mumkin. Agar siz SNMP ni
boshqarish uchu ishlatsangiz, unda xavfsizlik bilan bog‘liq vaziyat yana ham
ko‘proq diqqat talab qiladi.
90
Ushbu xavfsizlik muammosini yechish uchun SNMPv3 protooli yaratilgan,
u uchta variantda ishlatilishi mumkin:
1. noAuthNoPriv – parollar ochiq ko‘rinishda uzatiladi, ma‘lumotlar
konfidensialligi mavjud emas;
2. authNoPriv – konfidensialliksiz autentifikatsiya;
3. authPriv – autentifikatsiya va shifrlash.
Ma‘lum bo‘lganidek, aynan uchinchi variant eng yaxshi hisoblanadi, u
himoyalanganlikni maksimal darajada ta‘minlaydi.
Shuni qo‘shimcha qilish mumkin, SNMP protokoli istalgan korporativ
tarmoqning ahamiyatli qismi hisoblanadi. U barcha IT-infratuzilmani monitoring
qilish uchun keng qo‘llaniladi. Hatto ushbu maqsad uchun maxsus dasturiy
ta‘minot (masalan Zabbix) mavjud, u butun tarmoq to‘g‘risida axborotlarning
katta miqdorini yig‘adi. Ushbu axborotlar agar buzg‘unchining ―qo‘liga‖ tushsa
taqdid tug‘dirishi mumkin. Aynan shuning uchun SNMP ning himoyalangan
variant sizning tarmog‘ingiz xavfsizligi uchun ahamiyatli qadam hisoblanadi.
Log fayllarni tadqiq etish
Agar siz qachondur Tarix darslariga qatnashgan bo‘lsangiz, ―Tarixiy
xotirasiz kelajak yo‘q‖ degan ma‘nodagi frazalarni eshitgansiz. Bunda axborot
xavfsizligi sohasida ham tadbiqiga ega bo‘lgan chuqur ma‘no bor. Bizning holatda
tarix darsligi sifatida log fayllar (logs) xizmat qiladi. Ular voqealar jurnali,
registratsiya fayllari deb ham nomlanadi. Qanday nomlanishiga qaramasdan
mazmuni bitta – barcha voqealar to‘g‘risida xronologik tartibda yozuvlarni
saqlash. ―Voqealar‖ deganda aniq nimalar tushinilishiga keyinroq yana
to‘qtalamiz.
Ko‘pchilik tizim administratorlari loglarga beparvolik bilan munosabat
qilishadi. Loglarni umuman yig‘maydi yoki ularga diqqat qaratishmaydi. Ayni
paytda, loglar nosozliklarni izlashda (troubleshooting) va turli hodisalarni
tekshirishda eng kuchli uskunalardan biri hisoblanadi. Ularga quyidagilarni kiritish
mumkin, masalan: Marshrutizatorga kirishga nechta muvaffaqiyatsiz urinishlar
91
sodir bo‘ldi? Qachon VPN-tunnelga hujum amalga oshirildi? Qurilmaning qayta
yuklanganidan berli qancha vaqt o‘tti va bu elektrning o‘chishi bilan bog‘liqmi?
Konfiguratsiyada oxirgi o‘zgartirish qachon amalga oshirildi? Ushbu va boshqa
ko‘plab shu kabi savollarga biz faqat loglarga murojat qilgan holda javob
topishimiz mumkin.
Loglash (logging) amalda sizning tarmog‘ingizda sodir bo‘lgan hamma
narsani ko‘rish imkonini beradi. Barcha qurilmalarni real vaqt rejimida kuzatib
borish mumkin emas, ayniqsa hodisalar tunda sodir bo‘lsa, tarmoq esa o‘nlab
kommutatorlar va marshrutizatorlardan tashkil topgan bo‘lsa. Bundan tashqari,
loglarni davriy ravishda ko‘rib chiqish kelajakda yuzaga kelishi mumkin bo‘lgan
muammolarning oldini olishga yordam beradi.
Afsuski, Cisco (va boshqa ishlab chiqaruvchilar) ning tarmoq qurilmalari
loglar uchun juda cheklangan joyga (bufer) ega, bu o‘z navbatida loglarda aks
etishi mumkin bo‘lgan vaqt oralig‘iga ta‘sir qiladi. Bufer hajmi tugagandan so‘ng,
eng eski loglar oddiygina o‘chiriladi. Bundan tashqari, qurilma qayta yoqilganda,
loglar qayta tiklanmaydigan ko‘rinishda yo‘qoladi. Ushbu muammolarni hal qilish
uchun Log-serverlaridan foydalaniladi.
Loglarni yig‟ish usullari
Cisco qurilmalaridan (va boshqa ayrim qurilmalardan ham) loglarni
yig‘ishning 6 usuli mavjud. Ularni ko‘rib chiqamiz:
1) Console Logging – Xabarlarni konsolga chiqarish. Ushbu usul avtomatik
ishlaydi va logni to'g'ridan-to'g'ri qurilma konsoliga chiqaradi.
2) Buffered Logging – Qurilma buferiga, ya‘ni RAM xotirasiga loglarni
saqlash.
3) Terminal Logging – loglarni terminalga chiqarish, ya‘ni Telnet yoki SSH
seanslari uchun.
4) Syslog сервер – Syslog protokoli yordamida loglarni markazlashtirilgan
yig'ish.
92
5) SNMP Traps – SNMP protokoli orqali loglarni markazlashtirilgan
yig'ish.
6) AAA – Accounting ni ishlatish. Qurilmaga ulanish va buyruqlarni kiritish
bilan bog'liq yig'ish.
Usullarning har biri o'zining afzalliklari va kamchiliklariga ega, shuning
uchun ularni birgalikda ishlatish kerak. Quyida ushbu usullarning ayrim jihatlarini
ko'rib chiqamiz.
Loglash darajalari
Biroz yuqoriroqda, biz loglar xronologik tartibdagi barcha voqealarning
yozuvlari deb xulosa qildik. Ammo voqea deganda nimani tushinish kerak?
Bularning barchasi loglash darajasiga bog'liq. Loglarda qanday ma'lumot
ko'rsatilishi kerakligini aynan ushbu darajalar aniqlaydi. Jami 8 ta loglash darajasi
mavjud:
0 - Emergencies. Tizimning ishlamasligi bilan bog'liq hodisalar.
1 - Alets. Darhol chora ko‘rish zarurligi to'g'risida xabarlar.
2 - Critical. Muhim voqealar.
3 - Errors. Xatoliklar haqida xabarlar.
4 - Warnings. Ogohlantirishlarni o'z ichiga olgan xabarlar.
5 - Notifications. Muhim bildirgilar.
6 - Informational. Axborot xabarlari.
7 - Debugging. Nosozliklarni tuzatish xabarlari.
Ushbu darajalar irsiydir, ya'ni 7-darajani tanlab, siz barcha darajadagi
xabarlarni qabul qilasiz (0 dan 7 gacha), va 3-darajani tanlaganingizda – faqat 0
dan 3 gacha. Loglash darajasini ehtiyotkorlik bilan oshiring, chunki bu daraja
qanchalik baland bo'lsa, protsessorga yuklama shuncha ortadi. Masalan, agar
marshrutizator orqali "katta" trafik o'tayotgan bo'lsa va protsessor allaqachon katta
yuklama ostida bo'lsa, u holda 7-darajani (Debugging) yoqsangiz siz shunchaki
qurilma ustidan nazoratni yo'qotishingiz mumkin.
93
Korporativ tarmoqlarda loglashning 6-darajasi (Informational) ko'pincha
qo'llaniladi.
7-daraja
(Debugging)
odatda
nosozliklarni
qidirishda
(troubleshooting) ishlatiladi, masalan, VPN tunnelini qurish bilan bog'liq
muammolarni aniqlash uchun.
Console Logging
Kommutatorga yoki marshrutizatorga konsol orqali ulanganingizdan so'ng,
darhol loglarni ko'rasiz. Avtomatik tarzda loglashning 5-darajasi yoqilgan bo‘ladi.
Agar qurilma yuklama ostida bo'lsa (ya'ni u orqali trafik o'tayatgan bo'lsa), hech
qanday holatda loglash darajasini oshirmasligingiz kerak, aks holda siz shunchaki
konsoldan ishlay olmaysiz, chunki doimiy ravishda loglar paydo bo'lishi buyruqlar
yozishingizga to'sqinlik qiladi. Bunga qo'shimcha ravishda, agar siz oddiygina
konsol kabelini tortib olsangiz, u holda jurnallar konsolga yuborilishni davom
ettiradi va qurilmadan muhim resurslarni iste'mol qiladi.
Biroq, Console Logging eng qulay bo'lgan holatlar (odatda testlash
bosqichida) mavjud, chunki qurilmani real vaqtda kuzatib borish imkoniyatini
beradi. Loglash darajasini sozlash uchun quyidagi buyruqdan foydalaning:
Router(config)#logging console 7
yoki
Router(config)#logging console debugging
Agar loglar konsolda ishlashga xalaqit berishni boshlasa, unda loglash
darajasini o'zgartiring yoki ularni buyruq bilan o'chirib qo'ying:
R1(config)#no logging console
Buffered Logging
Yuqorida aytib o'tilganidek, loglar qurilmaning o'zida, buferda – RAM
xotirasida saqlanishi mumkin. Bunday holda siz ushbu bufer hajmini
o'zgartirishingiz va shu bilan loglash ―chuqurligini‖ sozlashingiz mumkin. Bufer
hajmini tanlashda siz juda ehtiyot bo'lishingiz kerak. Odatda u qurilmaning bo'sh
operativ xotirasiga bog'liq. Buferni juda kichik qilib o'rnatib, bo'sh joy tugagandan
so'ng ustiga yoziladigan muhim voqealarni o'tkazib yuborish xavfi mavjud.
94
Buferni juda katta tanlab, siz qurilmaning barcha bo'sh xotiralarini egallashingiz
mumkin, bu esa noma'lum oqibatlarga olib keladi.
Odatda, bufer hajmi 16 yoki 32 KB ga o'rnatiladi. So‘nggi zamonaviy
qurilmalar loglar uchun bir necha megabayt operativ xotirani ajratishga imkon
beradi. O'rnatish oddiy:
Router(config)# logging on
Router(config)# logging buffered 32768
Router(config)# logging buffered informational
Ushbu holatda biz oldin Buffered Logging ni yoqdik, so'ngra bufer hajmini
32 Kbayt qilib o'rnatdik va loglash darajasini tanladik (informational, ya‘ni 6-chi).
Loglarni ko'rish uchun imtiyozli rejimdan show log buyrug'idan foydalaning.
Hatto Syslog serveridan foydalansangiz ham, loglarni yig'ish usulini hech
qachon e'tiborsiz qoldirmang. Syslog serveri ishlamay qolganda shunday holat
bo'lishi mumkin, agar Buffered Logging ishlatmasangiz, jurnallar qaytarib
bo'lmaydigan darajada yo'qoladi.
Terminal Logging
Avval aytib o'tganimizdek, ba‘zida Console Logging-dagi misolda bo'lgani
kabi, loglarni real vaqtda ko'rishingiz kerak bo'lgan holatlar mavjud. Bunday
holda, logni to'g'ridan-to'g'ri qurilma konsoliga chiqarish, buferdan xabarlarni
ko'rsatish uchun show log buyrug'ini doimiy ravishda yozishdan ko'ra ancha
qulaydir. Ammo konsoldan foydalanish har doim ham mumkin emas. Masofaviy
ulanish bilan nima qilish kerak (Telnet, SSH)? Ushbu muammoni hal qilish uchun
terminal sessiyasida loglarni ko'rsatishga imkon beruvchi terminal monitor
buyrug'i mavjud. Bunday holda, siz loglash darajasini ham o'rnatishingiz mumkin:
Router(config)#logging monitor informational
Router(config)#exit
Router#terminal monitor
95
Terminal monitor buyrug'i global konfiguratsiya rejimidan emas, balki
imtiyozli rejimdan kiritilganligini unutmang. Loglarni o'chirish uchun terminal no
monitor buyrug'idan foydalaning.
Terminal monitor ni yoqayotganda, qurilmadagi yuklamaning ko'payishi
va loglash darajalarining ahamiyati haqida eslang. Shuningdek, siz ulangan
kanalning o'tkazuvchanligini hisobga olish kerak. Katta hajmdagi jurnallar bilan
kanal to'liq tiqilib qolishi mumkin, bu terminal sessiyasining tugashiga olib keladi
(ya'ni siz boshqaruvni yo'qotasiz).
Juda kam hollarda Terminal Logging ishlatiladi. Uning o‘rniga, Syslog
serveridan foydalanish ancha qulayroq.
Syslog-server
Log-serverning asosiy vazifasi – barcha tarmoq qurilmalaridan loglarni
markazlashkan yig'ish.
Jurnallar ajratilgan log-serverda to'planadi, bunda diskda katta bo'sh joy
bo'lishi mumkin, bu sizga hodisalarni ancha uzoq vaqt oralig'ida (6, 12 oy va
undan ham ko'proq) saqlashga imkon beradi. Log-serverdan foydalanishda
monitoring juda soddalashadi, chunki bu holda voqealar jurnalini tekshirish uchun
har bir qurilmaga ulanishga hojat yo'q. Log-server har qanday jiddiy tarmoqning
ajralmas elementidir.
Jurnallarni yig'ish maxsus protokollar yordamida amalga oshiriladi. Syslog
amalda standart hisoblanadi, shuning uchun Syslog serverini ko'pincha oddiygina
96
Log Server deb atashadi. Ushbu protokol 514 (UDP) portidan foydalanadi va
barcha ma'lumotlar ochiq ko‘rinishda yuboriladi. Loglarni yig'ishning yana bir
mashhur usuli – bu SNMP Traps hisoblanadi. Log-serverini tanlashda uning
ushbu texnologiyalarni qo'llab-quvvatlashiga ishonch hosil qiling.
Log serverga Windows tizimlari uchun bepul versiyasiga ega bo'lgan Kiwi
Syslog serverini misol qilib keltirish mumkin. Linux tizimlari uchun ko'proq
tanlovlar mavjud.
Shunisi e'tiborga loyiqki, loglarni saqlash zo‘r yechim emas. Tasavvur
qiling, har kuni sizning tarmog'ingizda milliondan ortiq voqealar sodir bo'ladi (bu
o'rta tarmoq uchun juda kamtar ko'rsatkich). Bundan tashqari, loglar nafaqat
foydali ma'lumotlarni o'z ichiga oladi. Ushbu tartibsizlik bilan qanday kurashish
mumkin? Shuning uchun hozirgi kunda rivojlangan qidirish funktsiyasi va
voqealarni avtomatik tahlil qilish va o'zaro bog'liqligi bo'lgan Log serverlari juda
mashhur bo'lib kelmoqda. Bu bizga katta miqdordagi voqealar orasida eng
muhimini ajratib olishga imkon beradi. Bunday log serverlari Log Management
yoki SIEM tizimlari deb tasniflanadi.
Keling, loglarni maxsus log-serverga yuborish uchun Cisco qurilmalarini
sozlashning boshlang'ich jarayonini ko'rib chiqamiz:
Router(config)#logging host 192.168.1.100 \адрес Syslog-сервера
Router(config)#logging trap informational \6-ой уровень логирования
Bundan tashqari, Syslog server barcha xabarlarni saralashiga asoslangan
loglar toifalarini (facilities) sozlashingiz mumkin. Biroq, ushbu parametr tanlangan
serverga juda bog'liq, shuning uchun biz ushbu mavzuni ko'rib chiqmaymiz.
SNMP Traps
SNMP Traps ning eng muhim ustunligi – ma‘lum bir qurilma parametrlari
bilan bog‘liq loglarni uzatish qobiliyatidir, masalan: protsessor harorati, tarmoq
yuklamasi, konfiguratsiyadagi o‘zgarishlar va h.k. Bu loglar oddiygina toifalarga
ajratilgan ―klassik‖ loglash darajalaridan sezilarli darajada farq qiladi. SNMP
Traplar dan foydalanib, siz loglar sonini sezilarli darajada kamaytira olasiz va
97
faqatgina kerakli parametrlarni monitoring qilishingiz, qolgan ―keraksiz xabar‖
lardan xalos bo'lishingiz mumkin.
3. Topshiriq
Ushbu laboratoriya ishi bo`yicha topshiriq 2 qismdan tashkil topgan.
1-topshiriq:
 1-rasmda keltirilgan topologiya bo‘yicha tarmoq hosil qiling;
 R1 va R2 routerlarda SNMP ni yoqing. Bunda: ro community = public; rw
community = private bo‘lsin;
 PC da MIB browser dan foydalangan holda R1 va R2 routerlarning
nomlarini (hostname) ko‘ring;
 MIB browser orqali R1 routerning interfeyslarini ko‘ring;
 MIB browser orqali R1 routerda interfeys turlarini ko‘ring;
 MIB browser orqali R1 routerda marshrutizatsiya jadvalini ko‘ring;
 MIB browser orqali R1 routerning nomini (hostname) o‘zgartiring;
 Yo‘qoridagi vazifalarni R2 router uchun takrorlang.
1 topshiriq bo`yicha laboratoriya ishini bajarish tartibi
1-topshiriqni bajarish bo‘yicha tarmoq topologiyasi quyidagi ko‘rinishga ega
bo‘ladi (1-rasm).
9.1-rasm. SNMP protokoli asosida tarmoq monitoringini amalga oshirish uchun
topologiya
R1 va R2 routerlarda SNMP ni yoqish uchun quyidagi buyruqlar kiritiladi.
R1 router uchun:
98
Router>en
Router#conf t
Router(config)#hostname R1
R1(config)#snmp-server community public ro
R1(config)#snmp-server community private rw
R1(config)#exit
R2 router uchun:
Router>en
Router#conf t
Router(config)#hostname R2
R2(config)#snmp-server community public ro
R2(config)#snmp-server community private rw
R2(config)#exit
MIB browser yordamida PC dan R1 routerga kirish jarayoni 2-rasmda
tasvirlangan.
9.2-rasm. MIB browser yordamida R1 ga kirish
MIB browser yordamida R1 routerni nomini (hostname) ko‘rish jarayoni 3rasmda tasvirlangan.
99
9.3-rasm. MIB browser yordamida R1 ni hostnameini ko‘rish
MIB browser yordamida R1 routerning interfeyslarini ko‘rish jarayoni 4rasmda tasvirlangan. Bu bizga routerning R1#show ip interface brief komandasi
bergan ma‘lumotlarni bera oladi.
9.4-rasm. MIB browser yordamida R1 routerni interfeyslarini ko‘rish
MIB browser yordamida R1 routerning interfeys turlarini ko‘rish jarayoni 5rasmda tasvirlangan.
100
9.5-rasm. MIB browser yordamida R1 routerni interfeys turlarini ko‘rish
MIB browser yordamida R1 routerning marshrutizatsiya jadvalini ko‘rish
jarayoni 6-rasmda tasvirlangan.
9.6-rasm. MIB browser yordamida R1 routerni marshrutizatsiya jadvalini ko‘rish
101
MIB browser yordamida R1 routerning nomini (hostname) o‘zgartirish
jarayoni 9.7-rasmda tasvirlangan.
9.7-rasm. MIB browser yordamida R1 routerning nomini (hostname) o‘zgartirish
2-topshiriq:
 1-rasmda ko`rsatilgan topologiya bo`yicha SYSLOG serverni sozlang
 Router0 va Router1 routerlari log fayllarni SYSLOG serverga yozib qo‘yishi
uchun tegishli konfiguratsiyalarni o‘rnating
2 topshiriq bo`yicha laboratoriya ishini bajarish tartibi
Quyidagi topologiya bo‘yicha tarmoq quramiz (8-rasm):
102
9.8-rasm. SYSLOG server o‘rnatilgan tarmoq topologiyasi
Router0 (R1) va Router1 (R2) da SYSLOG serverga loglarni yozib
qo‘yishni konfiguratsiya qilamiz va loglash darajasini ko‘‘rsatamiz:
Router0 uchun:
R1(config)#logging host 200.200.200.11
R1(config)#logging trap debugging
Router1 uchun:
R2(config)#logging host 200.200.200.11
R2(config)#logging trap debugging
Routerlarni ayrim intefeyslarini o‘chirib/yoqib, so‘ng SYSLOG serverdagi
log yozuvlarni tekshiramiz (9-rasm):
9.9-rasm. SYSLOG serveriga log fayllarni yozilishi tarmoq topologiyasi
4. Hisobot tarkibi:
Hisobotda quyidagilar keltirilishi lozim:
- Ishning nomi va maqsadi.
103
- Ishni bajarilganligini ko‘rsatuvchi ―screen shot‖ lar.
- Ishning natijasi.
- Nazorat savollariga qisqacha javoblar.
5. Nazorat savollari
1. SCP protokolining vazifasi nimadan iborat.
2. SCP protokolining ishlash tamoyillarini tushintiring.
3. SNMP protokolining vazifasi nimadan iborat.
4. SNMP protokolining ishlash tamoyillarini tushintiring.
5. Loglar (logs) nima uchun ishlatiladi?
6. Loglash darajalari haqida ma‘lumot bering.
10-laboratoriya ishi
MAvzu: AAA serverda autentifikatsiya rejimini sozlash (RADIUS,
TACACS+)
Ishdan
maqsad:
Ma‘lumot
uzatish
tarmoqlarida
autentifikatsiya,
avtorizatsiya va hisobga olish protokollarini sozlash, hamda amaliy ko‘nikmaga
ega bo‘lish.
Topshiriq
Bu ishda quyidagilar zarur:
- 10.1-rasmda keltirilgan sxemaga muvofiq tarmoqning modelini qurish;
104
10.1- rasm. Tadqiq qilinayotgan tarmoq tuzilishi

AAA-serverni kompyuter va marshrutizatorga ulanishi ta‘minlanadigan
tarzda sozlashni o‘rnatish.

Serverda ro‗yxatga olish yozuvlari qayt etilishi kerak;

marshrutizatorlarda AAA-mijozni sozlash;

noto‗g‗ri foydalanuvchi paroli yoki nomidan foydalanish bilan Telnet
orqali marshrutizatorga ulana olishga urinish;

to‗g‗ri foydalanuvchi paroli yoki nomidan foydalanish bilan Telnet
orqali marshrutizatorga ulana olishga urinish.
Qisqacha nazariy ma‟lumotlar
AAA (Authentication, Authorization, Accounting) mexanizmi ulanishni
taqdim etish jarayonini tavsiflash va uning ustidan nazorat qilish uchun ishlatiladi.
Autentifikatsiyalash (Authentication) - bu so‗rovni xavfsizlik tizimidagi
mavjud ro‗yxatga olish yozuvi bilan taqqoslash hisoblanadi. Bu login, parol,
sertifikat, smart-karta va boshqalar bo‗yicha amalga oshiriladi.
Avtorizatsiya (Authorization) (vakolatlarni, ulanish darajasini tekshirish) –
tizimidagi mavjud ro‗yxatga olish yozuvi (autentifikatsiyalashdan o‗tgan shaxsni)
va ma‘lum vakolatlarni (yoki ulanishga ta‘qiqlashni) taqqoslash hisoblanadi.
Hisobga olish (Accounting) - bu foydalanuvchi tomonidan tizimning
resurslaridan foydalanilishi haqida ma‘lumotlarni to‗plash hisoblanadi.
AAA ni ishlatadigan protokollaridan biri RADIUS (Remote Authentication
Dial-In User Service) va TACACS (Terminal Access Controller Access Control
System) protokollari hisoblanadi (10.2-rasm).
TACACS va RADIUS tizimlari markaziy tarmog‗ida bir necha olisdan
ulanish serverlari ishlatiladigan tashkilotlar uchun mo‗ljallangan. Bu tizimlarda
ma‘mur
foydalanuvchilar
identifikatorlarining
bazaviy
ma‘lumotlarini
va
parollarini boshqarishi, ularga ulanish imtiyozlarini taqdim etishni va tizim
resurslariga murojaatlarni hisobga olishni olib borishi mumkin.
105
10.2-rasm. TACACS va RADIUS protokollarining ishlash mexanizmi
TACACS va RADIUS protokollari alohida autentifikatsiyalash serverining
qo‗llanilishini talab qiladi. Bu server foydalanuvchilar haqiqiyligini tekshirish va
ularning vakolatlarini aniqlash uchun ma‘lumotlar omborini ishlatadi.
RADIUS protokoli haqiqiylikni, avtorizatsiyalashni va ro‗yxatga olishni
tekshirishni amalga oshirish uchun ishlatiladi.
RADIUS-mijoz (odatda olisdan ulanish server, VPN -server, simsiz
tarmoqqa
ulanish
nuqtasi
va
h.k.)
foydalanuvchining
ro‗yxatga
olish
ma‘lumotlarini va RADIUS xabar shaklidagi ulanish parametrlarini RADIUS serverga jo‗natadi. Server haqiqiylikni tekshiradi va mijozning so‗rovini
avtorizatsiyalaydi, keyin esa teskari javob xabarini jo‗natadi. Mijozlar serverlarga
ro‗yxatga olish xabarlarni ham jo‗natadi. Bundan tashqari, RADIUS standarti
proksi-serverlardan foydalanishni qo‗llaydi. RADIUS ning proksi-serveri bu
RADIUS protokolini qo‗llaydigan tugunlar orasida RADIUS -xabarlarni qayta
uzatadigan kompyuter hisoblanadi.
RADIUS - xabarlarni uzatilishi uchun UDP (User Datagram Protocol Foydalanuvchi deytagramm protokoli) protokoli ishlatiladi. RADIUS haqiqiylikni
tekshirish xabarlari uchun 1812 UDP-port, ro‗yxatga olish xabarlari uchun esa
1813 UDP-port ishlatiladi. Tarmoqqa ayrim ulanish serverlari RADIUS
haqiqiylikni tekshirish xabarlari uchun 1645 UDP-portni va RADIUS xisobga
olish xabarlari uchun esa 1646 UDP-portni ishlatishi mumkin.
106
RADIUS protokoli yo‗qotiladigan paketlar 5...10% dan kam bo‗ladigan
tarmoqlarda samarador bo‗ladi, boshqa tarmoqlarda TASASS+ protokoli
ishlatilishi yaxshi bo‗ladi.
Shifrlashda RADIUS protokoli parolda faqat clear text shifrlanadi, qolgan
butun paket «ochiq» qoladi (xavfsizlik nuqtai nazaridan xatto foydalanuvchining
nomi juda muhim parametr bo‗lsada).
TACASS+ protokolida paketning faqat sarlavhasi ochiq (hech qanday qimmatli
axborotni tashimaydigan) qoladi, paketning butun tanasi esa shifrlanadi.
Bajarish bo„yicha ko„rsatmalar
 AAA-serverni sozlash uchun sichqonchaning chapki tugmasini serverning
modeli bo‗yicha bosish, konfiguratsiyalash oynasini ochish, «Config» qismiga
o‗tish (10.3-rasm, 1-marker) va «AAA» tugmasini bosish (10.3-rasm, 2-marker).
 User Name (10.3-rasm, 7-marker) – tarmoq elementiga ulanish uchun
foydalanuvchining nomi (logini);
 Password (10.3-rasm, 8-marker) – tarmoq elementiga ulanish uchun parol;
 yuqorida sanab o‗tilgan parametrlar qiymatlari ko‗rsatilganidan keyin
AAA-serverga mos yozuvlarni qo‗shish uchun «+» tugmasini bosish (10.3-rasm,
6-va 9-markerlar) kerak bo‗ladi.
10.3 - rasm. AAA-serverni konfiguratsiya oynasi
107
Marshrutizatorlarning
interfeyslari
aktivlashtirilganidan
keyin
marshrutizatordagi AAA-mijozni sozlash kerak bo‗ladi. Buning uchun quyida
keltirilgan komandalar ketma-ketligini bajarish kerak.
1. AAA- serverning IP-manzilini ko„rsatish:
R1(config)#radius-server host 192.168.2.100
bu erda <IP-adres> – AAA-serverning IP-manzili.
2. RADIUS protokoli uchun shifrlash kalitini ko„rsatish :
R1(config)#radius-server key burgut
3. Marshrutizatordagi barcha AAA-xizmatlarni aktivlashtirish:
R1(config)#aaa new-model
4. Marshrutizatorda autentifikatsiyalash jarayonini sozlash:
R1(config)#aaa authentication login default group radius local
bu erda <metod> – autentifikatsiyalash usuli. RADIUS protokoli bo‗yicha
autentifikatsiyalash usuliga bu parametrning «group radius» qiymati mos keladi
5. Marshrutizatorda avtorizatsiya jarayonini sozlash:
- boshqarish seansini boshlanishi uchun avtorizatsiyalash:
- tarmoq seanslari uchun avtorizatsiyalash:
bu erda <metod> – mualliflashtirish usuli. RADIUS protokoli bo‗yicha
autentifikatsiyalash usuliga bu parametrning «group radius» qiymati mos keladi.
Cisco Packet Tracerda ro‗yxatga olish funksiyalari mumkin emas.
108
Ishni bajarish tartibi
R1 konfiguratsiyasi
Router>enable
Router#configure terminal
Router(config)# hostname R1
R1 (config)# enable secret 123456
R1(config)#username admin password admin
R1 (config)# aaa new-model
R1 (config)# radius-server host 192.168.2.100 key burgut
Routerga masofadan kirishda username admin password
foydalaniladi
R1 (config)# aaa authentication login default local group radius
admin
Agar group radius ishlatilsa, u holda rasmda ko`rsatilgan username cisco va
parol cisco orqali kiritiladi
R1 (config)# aaa authentication login default group radius group radius
109
AAA mexanizmi yordamida enable kirish parolini ham nazorat qilsa boladi.
R1 (config)# aaa authentication enable default group radius enable
R1 (config)# aaa authentication enable default enable
110
Bu ish bo„yicha hisobot quyidagilardan iborat bo„lishi kerak:
 ishning nomeri va nomi;
 topshiriq;
 Cisco Packet Tracer da tarmoq modelining tasviri;
 tarmoqdagi IP-manzillarni taqsimlanishi, ulanish sxemasini (interfeyslar
nomerlarini) o‗z ichiga olgan tavsifi;
 ishda foydalanilgan foydalanuvchilar nomlari va parollari;
 tarmoq elementlari konfiguratsiyalari listinglari;
 tarmoq elementlariga ulana olishga urinishlar natijalari.
Nazorat savollari
1. Autentifikatsiyalash tushunchasiga ta‘rif bering?
2. Avtotizatsiyalash tushunchasiga ta‘rif bering?
3. Identifikatsiyalash tushunchasiga ta‘rif bering?
4. TACACS va RADIUS protokollarini taqqoslang?
5. Hisobga olish (Accounting) deganda nimani tushunasiz?
6. RADIUS xabarlarini uzatish uchun qaysi protokol ishlatiladi?
7. UDP protokolining ishlash tamoyilini tushuntiring
111
11- laboratoriya ishi
Mavzu: DHCP Snooping – xavfsizlik texnologiyasi.
Ishdan maqsad. DHCP Snooping – xavfsizlik texnologiyasi sozlash
ko`nikmalarini hosil qilish.
Qisqacha nazariy ma'lumotlar
DHCP Snooping - bu qabul qilinmaydigan deb topilgan DHCP trafigini
o'chirib tashlaydigan real tarmoq komutatorining operatsion tizimiga o'rnatilgan 2darajali xavfsizlik texnologiyasi. DHCP Snooping, DHCP mijozlariga IPmanzillarni taklif qiladigan noto'g'ri DHCP-serverlarning oldini oladi. DHCP
Snooping quyidagilarni amalga oshiradi:
Ishonchsiz manbalardan kelgan DHCP xabarlarini tekshiradi va yaroqsiz
xabarlarni filtrlaydi.
IP-manzillari
ijaraga
olingan
ishonchli
bo'lmagan
xostlar
haqida
ma'lumotlarni o'z ichiga olgan ma'lumotlar bazasini yaratadi va saqlaydi.
Ishonchsiz xostlardan keyingi so'rovlarni tekshirish uchun yaratilgan
ma'lumotlar bazasidan foydalanadi.
DHCP Snoopingni faqat simli tarmoq foydalanuvchilar uchun qo‘llasa
bo‘ladi. Kirish qatlami xavfsizligi xususiyati sifatida, asosan, DHCP tomonidan
xizmat ko'rsatiladigan VLANga kirish portlarini o'z ichiga olgan har qanday
komutatorda yoqiladi. DHCP Snoopingni o'rnatishda himoya qilmoqchi bo'lgan
VLANda DHCP Snoopingni yoqishdan oldin ishonchli portlarni (DHCPserverning tegishli xabarlari o'tadigan portlarni) sozlash kerak. Bu CLIda ham,
veb-interfeysda ham amalga oshirilishi mumkin. CLI buyruqlari DHCP Snooping
konfiguratsiyasida FS S3900 seriyali komutatorlarida berilgan.
Ishni bajarish tartibi
1. Cisco packet tracer dasturi ishga tushiriladi.
2. Laboratoriya ishi uchun cisco 2960 kommutatori, 2911 marshruzatori
tanlanadi.
112
3. Quyida keltirilgan topologiya quriladi.
4. Qurilgan topologiya testlab ko`riladi.
11.1-rasm. Tadqiq qilinayotgan topologiya.
SWITCHga quyidagi buyruqlar ketma ketligi kiritiladi.
Switch>
Switch>en
Switch#conf t
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 1
Switch(config)#interface fastEthernet 0/5
Switch(config-if)#ip dhcp snooping trust
Switch(config-if)#ip dhcp snooping limit rate 2048
Switch(config-if) do wr
Switch(config)#end
ROUTERga quyida buyruqlar ketma ketligi kiritiladi.
continue with configuration dialog? [yes/no]: no
Router>enable
Router#conf t
Router(config)#interface gigabitEthernet 0/0
Router(config-if)#no shutdown
Router(config-if)#ip address 192.168.100.1 255.255.255.0
Router(config-if)#ip helper-address 10.10.10.10
Router(config-if)#ex
Router(config)#interface gigabitEthernet 0/1
Router(config-if)#no shutdown
Router(config-if)#ip address 10.10.10.1 255.255.255.0
Router(config-subif)#do wr
113
Router(config-subif)#exit
11.2-rasm. Serverga DHCP xizmatini yoqish.
11.3-rasm. Hostlarni IP manzil olganligini ko‘rish.
114
11.4-rasm. Soxta serverda DHCP xizmatini yoqish.
11.5-rasm. Soxta serverdan IP manzil olgan host.
115
11.6-rasm. DHCP Snooping xizmatidan so‘ng hostning haqiqiy serverdan IP
manzil olishi.
Bu ish bo„yicha hisobot quyidagilardan iborat bo„lishi kerak:
 ishning nomeri va nomi;
 topshiriq;
 Cisco Packet Tracer da tarmoq modelining tasviri;
 tarmoqdagi IP-manzillarni taqsimlanishi, ulanish sxemasini (interfeyslar
nomerlarini) o‗z ichiga olgan tavsifi;
 ishda foydalanilgan foydalanuvchilar nomlari va parollari;
 tarmoq elementlariga ulana olishga urinishlar natijalari.
Nazorat savollari
1.
DHCP xizmati nima?
2.
DHCP xizmatida qanday zaifliklar mavjud?
3.
DHCP-Snooping tarmoq hujumi nima va uning oldini olish usuli?
116