O‘ZBEKISTON RESPUBLIKASI RAQAMLI TEXNOLOGIYALARVAZIRLIGI
Muhammad al-Xorazmiy nomidagi Toshkent axborot texnologiyalari universiteti
1-AMALIY ISH
Fan: Tarmoq xavfsizligi
Bajardi: Xamidov Muhammadjon
Guruh: NWS005-1
Tekshirdi: Shaydullayev Jahongir Qudrat o’g’li
Toshkent 2025
1-laboratoriya ishi.
Mavzu: Tarmoq qurilmalarida dastlabki xavfsizlik sozlamalarini o‘rnatish –
telnet, ssh.
Ishdan maqsad : Kommutator qurilmasining tuzilishi, ishlash tamoyillari,
masofadan kirishni ta‘minlash usullari hamda xavfsizlik ko‘rsatkichlarini sozlash
qoidalarini tadqiq qilishdan iborat.
Nazorat savollariga javoblar
1.Console porti qaysi holatda ishlatiladi?
Console porti tarmoq qurilmasiga bevosita kirish uchun ishlatiladi. U odatda tarmoq
sozlamalarini dastlabki konfiguratsiya qilish, nosozliklarni tuzatish va qurilmani
tiklash (recovery) jarayonlarida qo‘llaniladi. Console ulanishi uchun maxsus kabel
(console cable) va terminal emulyatori (masalan, PuTTY yoki Tera Term) kerak
bo‘ladi.
2. Kommutator uchun nima sababdan VTY kanalini sozlash kerak?
VTY (Virtual Teletype) kanali uzoqdan tarmoq qurilmasiga kirish uchun ishlatiladi.
Agar VTY sozlanmasa, foydalanuvchilar Telnet yoki SSH orqali kommutatorga
ulana olmaydi. VTY liniyalariga parol va autentifikatsiya mexanizmlarini qo‘shish
orqali qurilmaning xavfsizligi ta’minlanadi.
3. Parolni shifrlanmagan ko‘rinishda uzatilmasligi uchun nima qilish kerak?
Tarmoq qurilmalaridagi parollarni shifrlash uchun quyidagi buyruqdan foydalanish
kerak:
service password-encryption
Bu buyruq oddiy matn shaklida saqlanayotgan parollarni shifrlaydi va ularni kamroq
himoyalangan holatda ko‘rinishining oldini oladi. SSH protokolidan foydalanish ham
parolning himoyasini kuchaytiradi.
4. Telnet va SSH protokollari nima maqsadda ishlatiladi?

Telnet – masofaviy tarmoq qurilmalariga tekstli interfeys orqali ulanish
imkonini beruvchi protokol. Biroq, Telnet ma’lumotlarni ochiq matn shaklida
uzatgani uchun xavfsiz emas.

SSH (Secure Shell) – Telnetning xavfsiz varianti bo‘lib, barcha ma’lumotlarni
shifrlangan holda uzatadi. SSH tarmoq qurilmalarini masofaviy boshqarishda
va maxfiy ma’lumotlarni himoya qilishda ishlatiladi.
5. Kompyuterlar qurilmalarga kirishi uchun nima sababdan tarmoq manzili bir
xil bo‘lishi kerak?
Tarmoqdagi qurilmalar bir-biri bilan muloqot qilishlari uchun ularning IP manzillari
bitta tarmoq segmentida bo‘lishi kerak. Agar IP-manzillar turli tarmoq diapazonlariga
tegishli bo‘lsa, qurilmalar bir-biri bilan bevosita aloqa qila olmaydi. Bunday holatda
marshrutizatsiya (routing) talab etiladi.
6. Line vty 0 15 buyrug‘i nimani bildiradi?
line vty 0 15
Ushbu buyruq kommutator yoki routerdagi VTY liniyalarining konfiguratsiya
rejimiga o‘tish uchun ishlatiladi. "0 15" diapazoni 16 ta (0 dan 15 gacha) virtual
terminal ulanishini qo‘llab-quvvatlashini bildiradi. Bu shuni anglatadiki, bir vaqtning
o‘zida 16 ta foydalanuvchi qurilmaga Telnet yoki SSH orqali masofaviy ulanishi
mumkin.
2-laboratoriya ishi.
Mavzu: Kommutatorda port xavfsizligi (port security) ni sozlash.
Ishdan
maqsad:
Kommutatsiya
jadvallari
to`ldirilishiga
yo`naltirilgan
hujumlardan, tarmoqni himoya qilish imkonini beruvchi kommutatorning “port
security” funksiyasini sozlash bo`yicha amaliy ko`nikmalarga ega bo’lish.
Yuqoridagi rasmlarda tashqi qurilmalarga IP manzillar berib chiqilish jarayon
keltirilgan.
Ushbu tashqi qurilmalardan komutatorning ma’lum bir belgilangan portiga ulanishga
ruxsat berish uchun uning MAC manzilini ham olish keyingi jarayonlarda keltiriladi.
Nazorat savollariga javoblar
1.MAC-manzil bu nima va qurilmalarda qanday aniqlanadi?
MAC (Media Access Control) manzil – tarmoq qurilmasining unikal jismoniy
manzili bo‘lib, u har bir tarmoq interfeys kartasiga (NIC) ishlab chiqaruvchi
tomonidan doimiy tarzda beriladi. MAC manzil 48 bit uzunlikka ega bo‘lib, odatda 6
juftlik 16-lik sanoq tizimidagi (hexadecimal) qiymat sifatida yoziladi (masalan,
00:A1:B2:C3:D4:E5).
MAC manzilni qurilmalarda quyidagi usullar bilan aniqlash mumkin:

Windows tizimida: ipconfig /all

Linux yoki macOS tizimida: ifconfig -a
yoki
ip link show
2. Kommutatorda port xavfsizligi funksiyasi nima uchun ishlatiladi?
Port xavfsizligi (Port Security) funksiyasi kommutatorning portiga faqat ruxsat
etilgan MAC-manzillarga ega qurilmalarni ulashga imkon beradi. Bu funksiyaning
asosiy maqsadi:

Tarmoq xavfsizligini oshirish – Begona yoki ruxsatsiz qurilmalarning
tarmoqqa ulanishining oldini olish.

Tarmoq hujumlarini cheklash – MAC flooding kabi hujumlarning oldini
olish orqali tarmoqning barqaror ishlashini ta’minlash.

Avtomatlashtirilgan nazorat – Ruxsat etilgan qurilmalar ro‘yxatini belgilab,
avtomatik ravishda noma’lum qurilmalarni bloklash.
3. Secure-MAC maksimal sonini N qaysi holatlarda ishlatiladi?
Secure-MAC maksimal soni N (ruxsat etilgan MAC manzillar soni) quyidagi
holatlarda ishlatiladi:

Xavfsizlik siyosatini kuchaytirish uchun – Faqat ma’lum qurilmalar
kommutator portiga ulanadigan qilib cheklash.

Tarmoqdagi MAC flooding hujumlarini oldini olish uchun – Ruxsat etilgan
MAC manzillar sonini cheklash orqali kommutatorning CAM (Content
Addressable Memory) jadvalining to‘lib ketishini oldini olish.

Qo‘shma ishlash (shared access) holatlarida – Bir nechta qurilmalar bitta
portdan foydalanganda, faqat kerakli qurilmalarni ruxsat etish uchun.
switchport port-security maximum N buyrug‘i orqali maksimal MAC manzillar
sonini belgilash mumkin.
4.Port Security asosiy atributlari:

Maximum MAC Addresses – Portga ulanishi mumkin bo‘lgan maksimal
MAC-manzillar sonini belgilaydi.

Violation Mode – Agar noma’lum qurilma ulanmoqchi bo‘lsa, qanday
choralar ko‘rilishini belgilaydi:
o
Protect – Faqat noma’lum MAC manzillarni bloklaydi, lekin
ogohlantirish bermaydi.
o
Restrict – Bloklaydi va syslog yoki SNMP ogohlantirishlarini jo‘natadi.
o
Shutdown – Portni err-disabled holatiga tushirib, to‘liq o‘chiradi.

Sticky MAC Addresses – Dinamik ravishda MAC-manzillarni o‘rganib,
ularni statik ro‘yxatga kiritish imkonini beradi.

Agar Port Security ishlatilsa, show port-security va show port-security
interface buyruqlari orqali uning holatini tekshirish mumkin.
5. Kommutatorning xavfsizligini ta’minlashning yana qanday choralarini
bilasiz?

SSH orqali masofaviy boshqaruvni yoqish – Telnet o‘rniga SSH ishlatish
(shifrlangan ulanish).

Unused portlarni o‘chirish – Ishlatilmayotgan portlarni shutdown holatiga
tushirish.

VLAN-larni to‘g‘ri sozlash – Har bir bo‘lim yoki tarmoq segmenti uchun
alohida VLAN yaratish.

BPDU Guard va Root Guard funksiyalarini yoqish – Spanning Tree
Protocol (STP) hujumlarini oldini olish.

DHCP Snooping yoqish – Noto‘g‘ri DHCP serverlardan IP manzillar
taqsimlanishini oldini olish.

Dynamic ARP Inspection (DAI) funksiyasini ishlatish – ARP hujumlariga
qarshi himoya qilish.

ACL (Access Control Lists) qo‘llash – Kommutator portlariga kirishni IP
yoki MAC-manzil bo‘yicha cheklash.
4-laboratoriya ishi.
Mavzu: Rezervlash protokollari – STP, RSTP va agregatsiyalash protokollari –
LACP, PAGP ni sozlash.
Ishdan maqsad Kanal pog’onasi protokollari:
– STP (spanning-tree protocol), RSTP protokollari;
– LACP, PAGP аgregatsiyalash protokollarining sozlash va ishlash tamoyillari
bo`yicha amaliy ko`nikmaga ega bo`lish.
Tashqi qurilmalarga IP manzillarni berish jarayoni.
Birinchi switchning 0/3 portini o’chirib qo’ysak ham ma’lumot almashinuv jarayoni
0/2 portga o’tib davom etishini yuqoridagi rasmda ko’rishimiz mumkin.
Bunda 6 ta paket yo’qolishisiga sabab 0/3 portni o’chirganimizda ma’lumotlar
almashinuv jarayoni 0/2 portga o’tganda sodir bo’lgan.
Nazorat savollariga javoblar
1. STP protokolining vazifalari
STP (Spanning Tree Protocol) tarmoqda halqa (loop) muammolarining oldini olish
uchun ishlatiladi. Uning asosiy vazifalari:

Halqalarning oldini olish – Ethernet tarmoqlarida aylana hosil bo‘lishiga yo‘l
qo‘ymaslik.

Muqobil yo‘llarni boshqarish – Tarmoqda bitta asosiy yo‘lni tanlab, muqobil
yo‘llarni ehtiyot rejimda (blocked) ushlab turish.

Avtomatik tiklanish – Agar asosiy yo‘nalishda nosozlik yuz bersa, STP
muqobil yo‘nalishni yoqib, tarmoqning ishlashini tiklaydi.

Trafikni optimal taqsimlash – Faol portlarni aniqlash orqali yuklamani
muvozanatlash.
2. Tarmoqda ildiz kommutator deganda nimani tushunasiz va u qanday
tanlanadi?
Ildiz kommutator (Root Bridge) – STP tomonidan butun tarmoq uchun markaziy
qurilma sifatida tanlangan asosiy kommutator. Uning vazifasi tarmoq topologiyasini
belgilash va barcha yo‘nalishlarni boshqarishdir.
Ildiz kommutator quyidagi tamoyillar asosida tanlanadi:

Eng past Bridge ID (Bridge Priority + MAC Address) – Har bir
kommutator o‘ziga xos Bridge ID ga ega bo‘ladi. Eng past Bridge ID ga ega
kommutator ildiz sifatida tanlanadi.

Agar Bridge Priority bir xil bo‘lsa, eng kichik MAC Address ga ega
kommutator ildiz bo‘ladi.

Ildiz kommutatorni qo‘lda tanlash uchun quyidagi buyruq ishlatiladi:
spanning-tree vlan X root primary
Bu buyruq kommutatorni root sifatida belgilash uchun ishlatiladi.
3. STP protokolida qanday port turlari ishlatiladi va ular qanday aniqlanadi?

Root Port (RP) – Ildiz kommutatorga eng qisqa yo‘l orqali bog‘langan port.
Har bir kommutatorda faqat bitta Root Port bo‘ladi.

Designated Port (DP) – Har bir tarmoq segmentida faollashtirilgan va trafikni
uzatishga ruxsat berilgan port.

Blocking Port – Halqalarning oldini olish uchun STP tomonidan bloklangan
port.

Alternate Port – Muqobil yo‘l sifatida ishlatiladigan, lekin hozircha faol
bo‘lmagan port.

Backup Port – Tarmoqda rezerv port sifatida ishlaydi va muqobil yo‘nalish
sifatida turgan port.
Portlarning turlarini ko‘rish uchun quyidagi buyruqdan foydalanish mumkin:
show spanning-tree
4. Agregatsiya kanal vazifasi va turlari
Agregatsiya kanali – bir nechta fizik portlarni bitta mantiqiy kanal sifatida
birlashtirib, tarmoqning o'tkazish qobiliyatini oshiradigan texnologiya.
Vazifalari:

Yuklamani muvozanatlash (Load Balancing)

Tarmoq ishonchliligini oshirish (Redundancy)

Aloqa tarmog‘ining o‘tish qobiliyatini oshirish (Increased Bandwidth)
Turlari:

Statik EtherChannel – Portlar qo‘lda agregatsiyalanadi va konfiguratsiya
doimiy bo‘lib qoladi.

PAgP (Port Aggregation Protocol) – Cisco tomonidan ishlab chiqilgan
avtomatik port agregatsiyasi protokoli.

LACP (Link Aggregation Control Protocol) – IEEE 802.3ad standartiga
asoslangan ochiq protokol bo‘lib, avtomatik port agregatsiyasini qo‘llabquvvatlaydi.
5. Kanal pog‘onasi protokollari
Kanal pog‘onasi (Data Link Layer) protokollari quyidagilardan iborat:

Ethernet – Mahalliy tarmoqlarda asosiy ma’lumot uzatish protokoli.

PPP (Point-to-Point Protocol) – Nuqtadan nuqtaga ulanishlar uchun
ishlatiladi.

HDLC (High-Level Data Link Control) – Raqamli aloqa tarmoqlari uchun
ishlatiladi.

Frame Relay – Ma’lumotlar ramkalar (frames) shaklida uzatiladigan protokol.

MPLS (Multiprotocol Label Switching) – Tezkor paket yo‘naltirish tizimi.

PAgP va LACP – Ethernet portlarini agregatsiyalash uchun ishlatiladi.
6. PAgP protokolini tavsiflang
PAgP (Port Aggregation Protocol) – Cisco tomonidan ishlab chiqilgan va faqat Cisco
qurilmalarida ishlaydigan protokol bo‘lib, EtherChannel kanallarini avtomatik
ravishda yaratishga yordam beradi.
Xususiyatlari:

PAgP kanalda ishlaydigan barcha portlarning holatini avtomatik tekshiradi.

Agar kanal noto‘g‘ri sozlangan bo‘lsa, u portlarni ajratadi.

Dinamik port agregatsiyasini ta’minlaydi.

PAgP ikki rejimda ishlaydi:
o
Desirable – Faol ravishda agregatsiya so‘raydi.
o
Auto – Faqat so‘rovga javob beradi, lekin o‘zi agregatsiya boshlamaydi.
Konfiguratsiya misoli:
interface GigabitEthernet0/1
channel-group 1 mode desirable
7. LACP protokolini tavsiflang
LACP (Link Aggregation Control Protocol) – IEEE 802.3ad standarti asosida ishlab
chiqilgan ochiq protokol bo‘lib, bir nechta portlarni bitta mantiqiy kanal sifatida
birlashtirishga imkon beradi.
Xususiyatlari:

Har qanday ishlab chiqaruvchining tarmoq qurilmalarida ishlaydi.

Agregatsiyalanadigan portlarning sinxron ishlashini ta’minlaydi.

Tarmoqda yuklamani muvozanatlash va ishonchlilikni oshirishga yordam
beradi.

LACP ikki rejimda ishlaydi:
o
Active – Faol ravishda portlarni agregatsiya qilishni boshlaydi.
o
Passive – So‘rovga javob beradi, lekin o‘zi agregatsiyani boshlamaydi.
Konfiguratsiya misoli:
interface GigabitEthernet0/1
channel-group 1 mode active
Asosiy farq:

PAgP faqat Cisco qurilmalari uchun.

LACP esa barcha IEEE 802.3ad standartini qo‘llovchi qurilmalarda ishlaydi.