收藏
下载资源

思科交换机安全配置包括AAA端口安全ARP安全DHCP侦听日志审计流量限制

上传人:公**** 文档编号:449202256 上传时间:2023-09-22 格式:DOC 页数:8 大小:590KB
返回 下载 相关 举报
思科交换机安全配置包括AAA端口安全ARP安全DHCP侦听日志审计流量限制_第1页
第1页 / 共8页
思科交换机安全配置包括AAA端口安全ARP安全DHCP侦听日志审计流量限制_第2页
第2页 / 共8页
思科交换机安全配置包括AAA端口安全ARP安全DHCP侦听日志审计流量限制_第3页
第3页 / 共8页
思科交换机安全配置包括AAA端口安全ARP安全DHCP侦听日志审计流量限制_第4页
第4页 / 共8页
思科交换机安全配置包括AAA端口安全ARP安全DHCP侦听日志审计流量限制_第5页
第5页 / 共8页
点击查看更多>>
资源描述

《思科交换机安全配置包括AAA端口安全ARP安全DHCP侦听日志审计流量限制》由会员分享,可在线阅读,更多相关《思科交换机安全配置包括AAA端口安全ARP安全DHCP侦听日志审计流量限制(8页珍藏版)》请在金锄头文库上搜索。

1、网络拓扑图如下:根据图示连接设备。在本次试验中,具体端口情况如上图数字标出。核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。IP 地址分配:Router:e0: 192.168.1.1Core:f0/1: 192.168.1.2Svi接口:Core vlan10: 172.16.10.254 Vlan20: 172.16.20.254 Vlan30: 172.16.30.254 Access vlan10: 172.16.10.253 Vlan20: 172.16.20.253 Vlan30: 172.16.30.253服务器IP地址:192.1

2、68.30.1Office区域网段地址: PC1:192.168.10.1 PC2:192.168.10.2路由器清空配置命令:enerase startup-configReload交换机清空配置命令:enerase startup-configdelete vlan.datReload加速命令:enconf tno ip domain lookupline con 0exec-timeout 0 0logging synhostname 一、OFFICE 区域地址静态分配,防止 OFFICE 网络发生 ARP 攻击,不允许 OFFICE 网段 PC 互访;STUDENTS 区 域主机输入正

3、确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击; 1、基本配置SW1的配置:SW1(config)#vtp domain cisco /SW1配置vtp,模式为server,SW2模式为clientSW1(config)#vtp password sovandSW1(config)#vtp mode serverSW1(config)#vlan 10SW1(config)#int range f0/3,f0/4 /链路捆绑SW1(config-if-range)#Channel-protocol pagpSW1(config-if-range)#Channe

4、l-group 10 mode onSW1(config)#int port-channel 10 /链路设置为trunk模式,封装802.1q协议,三层交换机默认没有封装该协议SW1(config-if)#switchport trunk encapsulation dot1q SW1(config-if)#switchport mode trunkSW2配置:SW2(config)#vtp domain ciscoSW2(config)#vtp password sovandSW2(config)#vtp mode clientSW2(config)#int range f0/3,f0/4

5、SW2(config-if-range)#Channel-protocol pagpSW2(config-if-range)#Channel-group 10 mode onCreating a port-channel interface Port-channel 10SW2(config)#int port-channel 10 SW2(config-if)#switchport trunk encapsulation dot1q SW2(config-if)#switchport mode trunkSW2(config)#int f0/1 /把f0/1,f0/2划入vlan10SW2(

6、config-if)#switchport mode access SW2(config-if)#switchport access vlan 10SW2(config-if)#int f0/2SW2(config-if)#switchport mode access SW2(config-if)#switchport access vlan 102、vlan aclOffice区域禁止PC机互访:使用show int e0/0命令查看mac地址SW2(config)#mac access-list extended macaclSW2(config-ext-macl)#permit host

7、 0007.8562.9de0 host 0007.8562.9c20 /要禁止双向通信SW2(config-ext-macl)#permit host 0007.8562.9c20 host 0007.8562.9de0SW2(config)#vlan access-map vmap 10 /禁止pc间的通信SW2(config-access-map)#match mac add macaclSW2(config-access-map)#action dropSW2(config)#vlan access-map vmap 20 /对其他数据放行,不然pc机无法ping通svi口、网关SW2

8、(config-access-map)#action forward SW2(config)#vlan filter vmap vlan-list 10未使用VLAN ACL时pc1可以ping通pc2,如下图:使用VLAN ACL时pc1可以无法ping通pc2,如下图:3、 Office区域静态配置ip地址时采用的ARP防护:配置如下:SW2(config)#ip arp inspection vlan 10SW2(config)#arp access-list arplist SW2(config-arp-nacl)#permit ip host 192.168.10.1 mac hos

9、t 0007.8562.9de0 /ip地址与mac地址对应表SW2(config-arp-nacl)#permit ip host 192.168.10.2 mac host 0007.8562.9c20SW2(config-arp-nacl)#ip arp inspection filter arplist vlan 10SW2(config)#int port-channel 10SW2(config-if)#ip arp inspection trust 注意:配置静态arp防护(用户主机静态配置地址,不是通过DHCP获取地址),需要新建ip与mac映射表,不然pc1无法ping通sv

10、i口4、OSPF与DHCP全网起OSPF协议,使pc1可以ping通路由器。其实全网没有起OSPF协议,PC机也是可以ping通路由器,此处发生了ARP代理。起OSPF是为了DHCP地址的分配。SW1(config)#ip routing /打开路由功能SW1(config)#int f0/1SW1(config-if)#no switchport /把二层接口转换为三层接口SW1(config-if)#ip add 192.168.1.2 255.255.255.0SW1(config-if)#no shutdown SW1(config-if)#int f0/2SW1(config-if)

11、#no switchport SW1(config-if)#ip add 192.168.2.2 255.255.255.0SW1(config-if)#no shutSW1(config)#router ospf 1SW1(config-router)#netSW1(config-router)#network 192.168.1.0 0.0.0.255 a 0SW1(config-router)#net 192.168.10.254 0.0.0.0 a 0R(config)#router ospf 1R(config-router)#net 192.168.1.0 0.0.0.255 a

12、0配置DHCP:Router(config)#ip dhcp 1Router(dhcp-config)#network 192.168.10.0 255.255.255.0Router(dhcp-config)#default-router 192.168.10.254 /返回地址,本环境中指向vlan 20的svi接口地址。Router(dhcp-config)#dns-server 8.8.8.8Router(dhcp-config)#exitRouter(config)#ip dhcp excluded-address 192.168.10.1 /去除一些地址Router(config)

13、#ip route 0.0.0.0 0.0.0.0 e0然后在sw1中配置DHCP代理,代理下一跳地址为DHCP入接口,进入vlan 20配置svi接口,地址为192.168.20.254注意:Router(config)#ip route 0.0.0.0 0.0.0.0 e0 /如果不想写这条,就必须要把关掉路由功能,不然pc机无法获取ip地址关掉路由功能命令为no ip routing.然后在pc上进入接口,设置为DHCP获取地址,命令如下:int f0/1ip add dhcp查看结果:5、Student区域ARP防护:SW2配置如下:ip dhcp snooping /开启DHCP侦听

14、ip dhcp snooping vlan 20int range f0/1,f0/2 ip dhcp snooping limit rate 5 /限制DHCP请求包数量,此处为5ip verify source port-security exit int port-channel 10 ip dhcp snooping trust /设置信任端口然后修改pc1的mac地址,就可以发现端口down状态,修改mac地址命令如下:pc1(config)#int e0/0 pc1(config-if)#mac-address 0007.8562.9de36、AAA认证:服务器地址为:192.168.30.1s1(config-vlan)#int vlan 30 /创建vlan 30的原因:在sw1、sw2中配置svi口,服务器的地址为192.168.30.1,使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器s1(config-if)#ip add 192.168.30.254 255.255.255.0s1(config)#int f0/5s1(config-if)#switchport mode access s1(config-if)#switchport access vla

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 医学/心理学 > 基础医学

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号