HCIP-进阶实验08-接入安全配置
HCIP-进阶实验08-接入安全配置
1 实验需求
1.1 实验拓扑
1.2 实验需求
本实验共采用2台三层交换机、1台路由器和4台PC。认真分析实验需求,明确每步考查的知识点,根据拓扑搭建实验环境,确保端口都双UP后再进行下面步骤:
- PC1和PC2位于办公网段VLAN10,PC3和PC4位于学生网段VLAN20
- 对于学生网段,要求使用端口隔离技术,防止学生之间PC3和PC4的相互访问
- 对于办公网段,要求员工使用公司的电脑进行上网,交换机配置MAC地址表安全功能,静态绑定PC1的MAC地址(需配置接口不学习MAC地址),对于PC2相连的接口设置MAC地址学习数量为1,当超过最大学习数量时,丢弃该接口发送的报文(ensp只支持告警)
- 对于学生网段,由于每天上课学生的不同,交换机配置端口安全技术,配置合理的安全MAC地址类型,限制接口地址学习数量为1,当超过最大学习数量时,将接口关闭
- 对于办公网段和学生网段均采用DHCP自动获取的方式,通过路由器进行获取IP地址(SW1为三层交换机)
- 配置DHCP Snooping技术,防范非法DHCP服务器的攻击
- 配置IPSG防止学生网段PC3私自修改IP地址
- 配置DAI防范学生网段PC4收到中间人攻击
1.3 地址规划
| 设备 | 接口 | 地址 | 备注 |
|---|---|---|---|
| AR1 | g0/0/1 | 192.168.100.254/24 | DHCP-Server |
| LSW1 | g0/0/1 | access vlan100 | |
| g0/0/5 | trunk | ||
| vlanif 10 | 192.168.10.254/24 | vlan10网关 | |
| vlanif 20 | 192.168.20.254/24 | vlan20网关 | |
| vlanif 100 | 192.168.100.1/24 | 管理网段 | |
| LSW2 | g0/0/1 | access vlan10 | |
| g0/0/2 | access vlan10 | ||
| g0/0/3 | access vlan20 | ||
| g0/0/4 | access vlan20 | ||
| g0/0/5 | trunk | ||
| PC1 | e0/0/1 | DHCP自动获取 | Office vlan10 |
| PC2 | e0/0/1 | DHCP自动获取 | Office vlan10 |
| PC3 | e0/0/1 | DHCP自动获取 | Student vlan20 |
| PC4 | e0/0/1 | DHCP自动获取 | Student vlan20 |
2 实验步骤
2.1 VLAN划分+DHCP
AR1
sy
sys AR1
#全局启用DHCP
dhcp enable
#配置地址池
ip pool office
network 192.168.10.0 mask 24
gateway-list 192.168.10.254
dns-list 8.8.8.8
qu
ip pool student
network 192.168.20.0 mask 24
gateway-list 192.168.20.254
dns-list 8.8.8.8
qu
int g0/0/1
ip add 192.168.100.254 24
dhcp select global
qu
#配置回vlan10和vlan20的路由
ip route-static 192.168.10.0 24 192.168.100.1
ip route-static 192.168.20.0 24 192.168.100.1
LSW1(DHCP-relay)
sy
sys LSW1
#全局启用DHCP
dhcp enable
vlan batch 10 20 30 40 100
int vlan 10
ip add 192.168.10.254 24
dhcp select relay #启用DHCP中继
dhcp relay server-ip 192.168.100.254 #指定DHCP服务器的地址
qu
int vlan 20
ip add 192.168.20.254 24
dhcp select relay
dhcp relay server-ip 192.168.100.254
qu
int vlan 100
ip add 192.168.100.1 24
qu
int g0/0/1
port link-type access
port default vlan 100
qu
int g0/0/5
port link-type trunk
port trunk allow-pass vlan 10 20 100
qu
LSW2
sy
sys LSW2
vlan batch 10 20 30 40 100
int g0/0/1
port link-type access
port default vlan 10
qu
int g0/0/2
port link-type access
port default vlan 10
qu
int g0/0/3
port link-type access
port default vlan 20
qu
int g0/0/4
port link-type access
port default vlan 20
qu
int g0/0/5
port link-type trunk
port trunk allow-pass vlan 10 20 100
qu
2.2 端口隔离
LSW2
port-isolate mode all
int g0/0/3
port-isolate enable group 2
int g0/0/4
port-isolate enable group 2
qu
配置前
配置后
2.3 mac安全
注意, 这里我的PC2是左边的那台, 通过g0/0/1连接
LSW2
mac-address static 5489-9821-10ea g0/0/2 vlan 10
int g0/0/2
mac-add learning disable action discard
qu
int g0/0/1
mac-limit maximum 1
qu
PC1
查看mac地址表限制
display mac-limit
2.4 端口安全
LSW2
int g0/0/3
port-security enable
port-security max-mac-num 1
port-security protect-action shutdown
qu
int g0/0/4
port-security enable
port-security max-mac-num 1
port-security protect-action shutdown
qu
重启PC3和PC4, 并查看LSW2的mac地址表
display mac-address
2.5 DHCP Snooping
LSW2
dhcp snooping enable ipv4
int g0/0/1
dhcp snooping enable
qu
int g0/0/2
dhcp snooping enable
qu
int g0/0/3
dhcp snooping enable
qu
int g0/0/4
dhcp snooping enable
qu
int g0/0/5
dhcp snooping enable
dhcp snooping trusted
qu
未开启dhcp Snooping的接口不会接收Discover报文, 自然不会像上游转发
2.6 IPSG
LSW2
user-bind static ip-address 192.168.20.253 mac-address 5489-9879-26B4 #地址绑定
int g0/0/3
ip source check user-bind enable #使能IPSG
ip source check user-bind alarm enable #使能告警功能
ip source check user-bind alarm threshold 100 #设置告警阈值为100
qu
2.7 DAI
user-bind static ip-address 192.168.20.252 mac-address 5489-9858-5676
int g0/0/4
arp anti-attack check user-bind enable
qu
(思考:接口安全和DAI都可以限制MAC地址学习,哪项会生效)
本文来自博客园,作者:Qurare,严禁转载至CSDN平台, 其他转载请注明原文链接:https://www.cnblogs.com/konjac-wjh/p/17559804.html
