路由器密码恢复SSH技术VPN技术校园网搭建及配置实验.docx
《路由器密码恢复SSH技术VPN技术校园网搭建及配置实验.docx》由会员分享,可在线阅读,更多相关《路由器密码恢复SSH技术VPN技术校园网搭建及配置实验.docx(44页珍藏版)》请在冰豆网上搜索。
路由器密码恢复SSH技术VPN技术校园网搭建及配置实验
实验
(一)路由器、交换机密码恢复实验
为了保护路由器和交换机的安全,需要采用密码技术。
可是出于种种原因,比如忘记密码,或者由于人员的流动,没做好工作交接,这时就需要使用密码恢复技术来恢复路由器和交换机的密码。
由于交换机无法在模拟器中模拟破解方法,本实验值介绍破解路由器密码的方法。
1.实验目的
在不知道路由器和交换机的密码时,对它们的密码进行破解。
2.实验原理
路由器和交换机的启动顺序都是由它们的寄存器值决定,破解密码就是通过修改寄存器值来达到在机器启动的时候跳过密码验证的启动步骤,从而达到进入机器的目的。
实验环境如下拓扑图1.所示,在CiscoPacketTracer模拟器中模拟破解方法。
图1.
三.实验步骤
1.在不知道路由器密码时,重启路由器,在60秒内按下ctrl+break键,稍后路由器进入ROMmon模式,如下图2.所示。
图2.
2.修改寄存器的值病重启机器。
初始值为0x2102,当修改为0x2042时,跳过密码验证。
rommon1>confreg0x2142//寄存器的值修改为0x2142
rommon2>reset//重启机器
Continuewithconfigurationdialog?
[yes/no]:
no//路由器重新启动,跟一台
新的路由器一样
3.把NVRAM中的配置文件拷贝到内存中。
Router#copystartup-configrunning-config
4.重新配置新的密码。
R1#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R1(config)#enablepasscisco
R1(config)#enablepassWHUT
R1(config)#enablesecretWHUTxxxy
R1(config)#linevty04
R1(config-line)#passwordWHUTxxxy
R1(config-line)#lineconsole0
R1(config-line)#passwordWHUTxxxy
5.使用“noshutdown”命令,打开所有使用的端口
R1(config)#intfa0/1
R1(config-if)#noshut
%LINK-5-CHANGED:
InterfaceFastEthernet0/1,changedstatetoup
R1(config-if)#
R1(config-if)#
R1(config-if)#intlo0
R1(config-if)#noshut
R1(config-if)#intlo1
R1(config-if)#noshut
R1(config-if)#exit
6.改回配置寄存器的值。
R1(config)#config-register0x2102
R1(config)#exit
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
7.使用“showrunning-config”命令查看当前运行信息。
R1>en
Password:
R1#showrun
Buildingconfiguration...
Currentconfiguration:
960bytes
!
version12.3
noservicetimestampslogdatetimemsec
noservicetimestampsdebugdatetimemsec
noservicepassword-encryption
!
hostnameR1
!
enablesecret5$1$mERr$MpD9yCt3ZEhP9eg5OQY8s/
enablepasswordWHUT
!
!
noipdomain-lookup
!
!
spanning-treemodepvst
!
!
interfaceLoopback0
ipaddress10.10.10.1255.255.252.0
!
interfaceLoopback1
ipaddress209.165.202.129255.255.255.252
!
interfaceFastEthernet0/0
ipaddress172.16.7.1255.255.255.252
duplexauto
speedauto
shutdown
!
interfaceFastEthernet0/1
noipaddress
duplexauto
speedauto
!
interfaceVlan1
noipaddress
shutdown
!
routerospf1
log-adjacency-changes
passive-interfaceLoopback0
network172.16.7.00.0.0.3area0
network172.16.7.40.0.0.3area0
network10.10.0.00.0.7.255area0
!
ipclassless
iproute0.0.0.00.0.0.0Loopback1
!
nocdprun
!
!
linecon0
passwordWHUTxxxy
linevty04
passwordWHUTxxxy
login
!
end
8.保存配置
R1#write
Buildingconfiguration...
[OK]
实验
(二)SSH构建安全通信通道
1、实验目的
本实验用于理解数据加密的过程及应用,掌握搭建SSH安全通道的方法。
2、实验原理
通过使用SSH,可以对所有传输的数据进行加密,以防御“中间人”攻击,捕获后的数据包是经过加密的。
3、实验环境
虚拟机一台、CiscoPacketTracer模拟器,一台路由器、SCRT软件。
4、实验步骤
使用SSH要进行服务器端和客户端配置。
1.配置SSH服务器端
启动一台路由器R1,把路由器配置成SSH服务器端,步骤如下:
(1)准备工作。
给路由器配置一个IP地址:
Router(config)#intfa0/0
Router(config-if)#ipadd192.168.1.100255.255.255.0
Router(config-if)#noshut
(2)配置路由器的名字(必配),修改默认名字:
Router(config)#hostR1
(3)配置路由器的域名(必配):
Router(config)#ipdomain-nameWHUT.com
(4)产生非对称密钥:
R1(config)#cryptokeygeneratersa
Thenameforthekeyswillbe:
R1.WHUT.com
Choosethesizeofthekeymodulusintherangeof360to2048foryour
GeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytake
afewminutes.
Howmanybitsinthemodulus[512]:
1024
%Generating1024bitRSAkeys,keyswillbenon-exportable...[OK]
*?
?
10:
2:
16.302:
%SSH-5-ENABLED:
SSH1.99hasbeenenabled
(5)配置VTY用户验证,验证的方式是SSH,配置如下:
R1(config)#usernametsetsecretxxxy
R1(config)#linevty04
R1(config-line)#tr
R1(config-line)#transportinputssh
R1(config-line)#loginlocal
R1(config-line)#exit
(6)调整SSH(可选):
R1(config)#ipsshtime-out15//设置SSH窗口超时时间。
如提示输入密码,若
用户在15秒内未输入,则认为已经超时,需刷新
后重新输入
R1(config)#ipsshauthentication-retries3//每次SSH连续允许尝试的次数,三次
登录失败后,需再次连接SSH
2.配置SSH客户端。
步骤如下:
(1)在Windows计算机上安装SecureCRT软件。
(2)配置SecureCRT。
单击“文件”菜单→“连接”,打开“连接”窗口,如下图1.所示。
单击“连接”窗口工具栏中左边起第三个图标“NewSession”,打开“NewSessionWizard”对话框,如图2.所示。
在“Protocol”栏中,选择“SSH1”。
单击下一步继续。
在出现的如图3.中,在“Hostname”栏中输入路由器R1的IP地址“192.168.1.100”;端口号中保持默认的“22”;“Firewall”栏中保持默认的“无”;“Username”栏中填写路由器的用户名“test”。
单击“下一步”继续。
新建会话向导询问会话名称,如图4.所示,这里保持默认。
单击“Finish”,完成新连接的添加。
图1.连接窗口
图2.选择协议
图3.填入远程主机信息
图4.填入会话名称
(3)编辑连接属性。
步骤
(2)中添加的新的连接,默认使用压缩形式,可路由器端不支持压缩。
选中“Connect”窗口工具栏中的左边起第8个图标“properties”,修改连接属性,如图5.所示。
图5.编辑连接属性
在打开的“SessionOption”窗口中,如图6.所示,在左侧栏中选中“高级”,在右侧的压缩栏中选择“None”,单击“确定”返回。
图6.编辑会话选项
单击图5.中的连接选项,在弹出的输入安全口令对话框内,分别输入用户名“test”和用户密码“xxxy”,单击确定,SecureCRT成功通过路由器接通到路由器R1。
实验(三)实现VPN的实验
1、实验目的
(1)进一步熟悉VPN原理与技术。
(2)熟练掌握VPN配置。
2、实验环境及设备
本实验是在两台虚拟机上实现的,一台虚拟机(192.168.80.128)安装Windows2003Server系统,充当VPN接入服务器;另一台安装WindowsXP,充当VPN客户端。
3、实验内容及步骤
1.配置并启用VPN服务器。
在安装Windows2003Server系统的虚拟机上配置并启用VPN服务器分为两个步骤,分别是:
VPN接入服务配置、接入用户和权限配置。
(1)VPN接入服务配置
依次单击“开始”→“控制面板”→“管理工具”→“路由和远程访问”,进入Windows2003Server路由和远程访问配置模块,进行VPN接入服务器配置。
如图1.所示,右击“服务器状态”,在弹出的菜单中选择“添加服务器”选项,出现如图2.所示“添加服务器”对话框,从中选择作为VPN接入服务器的主机。
图1.添加VPN接入服务器
图2.“添加服务器”对话框
单击“确定”按钮,将本机添加到路由和远程访问服务器列表中,选择已添加服务器并左击,如下图3.所示。
图3.配置并启用路由和远程访问
单击“配置并启用路由和远程访问”选项,进入“路由和远程访问服务器安
装向导”对话框,如图4.所示。
图4.路由和远程访问服务器安装向导”对话框
单击“下一步”,选择要配置的服务器类型。
在本实验中的VPN接入服务器仅有一个网络连接,所以选择“自定义配置”选项,如图5.所示。
图5.选择服务器配置类型
单击“下一步”,选择服务器类型为“VPN访问”服务器,如图6.所示。
图6.选择服务器类型
单击“下一步”,如图7.所示,单击“是(Y)”,完成VPN接入服务器安装。
图7.完成VPN接入服务器配置
完成VPN接入服务器安装后,在服务器列表就可看到所添加的新的服务器WHUT-492F17B039,如图8.所示。
图8.VPN接入服务器监控
Windows2003Server上的远程接入服务使用Windows和RADIUS两种方式进行身份验证,这里使用默认Windows验证方式。
选中服务器节点并右击,在弹出的菜单栏中选择“属性”,在弹出的对话框的“安全”的选项卡上选择验证方式,如图9.所示。
图9.身份认证方式选择
(2)接入用户和权限配置
单击“开始”→“控制面板”→“管理工具”→“计算机管理”菜单,选择“本地用户和组”→“用户”节点,如图10.所示。
图10.Windows2003Server用户管理界面
在图10.的右半部分右击,在弹出的菜单中选择“新用户”项,在“新用户”对话框中填入用户名和密码,如图11.所示。
图11.“新用户”对话框
单击“创建”,在Windows系统中创建VPNclient的帐户。
对新增的用户设置远程访问权限。
选中VPNclient帐户并右击,弹出菜单如图12.所示。
图12.设定Windows帐户属性
单击“属性”菜单项,在弹出的“属性”对话框“拨入”选项卡的的“远程访问权限(拨入或VPN)”框中“允许访问”,以允许该帐户进行远处访问,如图13.所示。
图13.设定Windows帐户远程访问权限
完成这些步骤后,就可使用该帐户进行远程访问了。
2.配置VPN客户端
在WindowsXP系统中,是以建立网络连接的形式来建立VPN客户端连接的,创建一个新的VPN客户端连接按下列步骤进行:
(1)在“控制面板”→“网络连接”视图中新建网络连接,如下图14.所示。
图14.新建网络连接
(2)在单击“创建一个新的连接”之后,将进入“新建连接向导”对话框,如图15.所示。
图15.新建连接向导
(3)单击“下一步”,选择连接类型为“连接到我的工作场所的网络”,如图16.所示。
图16.选择网络连接类型
(4)单击“下一步”,选择网络连接方式为“虚拟专用网连接”,如图17.所示。
图17.选择虚拟专用网连接
(5)单击“下一步”,指定本连接的名称,如图18.所示。
图18.指定连接的名称
(6)单击“下一步”,指定在进行本VPN连接之前,需要初始化的Internet连接。
本部分的配置与客户端具体的网络环境有关。
VPN连接是建立在Internet连接基础上的,进行VPN连接首先要确保Internet连接正常,而本次实验配置就是指定在进行VON连接前,如何建立Internet连接,如图19.所示。
图19.完成网络的连接
(7)单击“下一步”,指定VPN服务器的地址,如图20.所示。
图20.输入VPN服务器的主机名或IP地址
(8)单击“下一步”,完成新建网络连接向导,如图21.所示。
图21.完成新建网络连接向导
通过这些设置,就可以进行VPN拨号,建立VPN连接,如图22.所示。
图22.成功创建VPN连接
3.连接VPN服务器
在图22.中,双击创建好的VPN网络连接,在弹出的对话框中输入具有远程访问权限帐户的用户名和密码,此时就可以进行VPN连接了,如图23.所示。
单击“连接”,如果用户名和密码正确且Internet连接正常,系统将显示已经成功进行VPN连接。
图23.连接VPN服务器
实验(五)路由交换综合实验
1、实验目的
1.熟悉路由交换工作原理。
2.熟练掌握路由器、交换机的配置。
3.进一步理解VLAN原理,并了解其在网络安全管理方面的应用。
4.掌握NAT的工作原理及其应用。
2、实验环境及实验网络拓扑
整个实验是在CISCO模拟器CiscoPacketTracer6.0中进行。
实验网络拓扑图如下图1.所示。
图1.实验网络拓扑
本次实验的网络拓扑是模拟校园网而设计的。
该网络是以一个核心交换机为中心构建的一个简单网络。
从图1.中可以看到,该学校一共有三个主校区,各个校区分布的部门以及区域用途是不完全相同的。
如图,这三个校区在地域上并不是隔离很远,只是存在一定区域划分。
每个校区都分布有教学区、试验区、住宿区、图书馆,而不同的是在校区1区域分布有财务处和教务处,在校区2区域分布有行政处。
一个网络必然是开放的,所以在该网络设计中考虑到了外部网络与校园内部网络的连接,也设计了远程登录连接网络。
网络是一个开放的系统,必然存在一定的安全隐患,故需要有网络管理员对整个网络进行操控,在这个网络中设计了一个网络管理工作站,通过连接核心交换机达到控制整个网络的目的。
3、实验要求
在本网络环境中预期的情况是,财政处、行政处、教务处三个系统是独立的,即每个系统,校园内部和外部主机一律不能访问。
三个校区内,教学区、试验区、宿舍区、图书馆可任意被访问。
网络管理员可以访问网络内部所有主机。
4、实验配置
1.核心交换机(MultilayerSwitch0)的配置
Center#showrun
Buildingconfiguration...
Currentconfiguration:
2501bytes
!
version12.2
noservicetimestampslogdatetimemsec
noservicetimestampsdebugdatetimemsec
servicepassword-encryption
!
hostnameCenter
!
enablesecret5$1$mERr$lwAY9tCo4wFUWvswe2Y3e1
!
iprouting
!
!
spanning-treemodepvst
!
interfaceFastEthernet0/1
noswitchport
ipaddress192.168.11.1255.255.255.0
duplexauto
speedauto
!
interfaceFastEthernet0/2
switchportaccessvlan10
switchportmodeaccess
!
interfaceFastEthernet0/3
switchportaccessvlan100
switchportmodeaccess
!
interfaceFastEthernet0/4
switchporttrunkencapsulationdot1q
switchportmodetrunk
!
interfaceFastEthernet0/5
!
interfaceFastEthernet0/6
!
interfaceFastEthernet0/7
noswitchport
ipaddress192.168.12.1255.255.255.0
duplexauto
speedauto
!
!
interfaceVlan1
noipaddress
shutdown
!
interfaceVlan2
ipaddress192.168.2.254255.255.255.0
!
interfaceVlan3
ipaddress192.168.3.254255.255.255.0
!
interfaceVlan4
ipaddress192.168.4.254255.255.255.0
!
interfaceVlan5
ipaddress192.168.5.254255.255.255.0
!
interfaceVlan6
ipaddress192.168.6.254255.255.255.0
!
interfaceVlan7
ipaddress192.168.7.254255.255.255.0
!
interfaceVlan8
ipaddress192.168.8.254255.255.255.0
!
interfaceVlan10
ipaddress192.168.10.254255.255.255.0
!
interfaceVlan100
ipaddress192.168.100.254255.255.255.0
!
routereigrp100
network192.168.2.2540.0.0.0
network192.168.3.2540.0.0.0
network192.168.4.2540.0.0.0
network192.168.5.2540.0.0.0
network192.168.6.2540.0.0.0
network192.168.7.2540.0.0.0
network192.168.8.2540.0.0.0
network192.168.10.2540.0.0.0
network192.168.100.2540.0.0.0
network192.168.11.10.0.0.0
network192.168.12.10.0.0.0
noauto-summary
!
ipclassless
iproute0.0.0.00.0.0.0FastEthernet0/1
!
!
access-list1permithost192.168.100.1
!
!
linecon0
!
lineaux0
!
linevty04
access-class1in
0839*******
login
!
end
2.Switch0的配置:
SW0>en
Password:
SW0#showrun
Buildingconfiguration...
Currentconfiguration:
1588bytes
!
version12.2
noservicetimestampslogdatetimemsec
noservicetimestampsdebugdatetimemsec
servicepassword-encryption
!
hostnameSW0
!
enablesecret5$1$mERr$lwAY9tCo4wFUWvswe2Y3e1
!
spanning-treemodepvst
!
interfaceFastEthernet0/1
switchporttrunkallowedvlan5-
升级会员 