实验要求:
1、Office区域地址静态分配,不允许office发生ARP攻击,不允许office网段PC互访,student区域主机自动获取地址,设法预防students网段地址发生ARP攻击
2、在交换机开启生成树安全机制,接入层交换机不能成为根,接入接口快速收敛。
3、当office区域接口接入交换机后进入正常的生成树状态。Students区域接入交换机后直接down
4、管理员可以安全管理所有网络设备,并能查看时间可靠的日志信息
5、管理员PC监控所有出口流量,并且限制每个接入层接口的广播包不超过100个
实验拓扑:
实验步骤:
1、 配置STP和VTP协议
SW2:
SW2(config)#vlan 10
SW2(config-vlan)#vlan 20
SW2(config-vlan)#exit
SW2(config)#int range f0/23 - 24
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config)#vtp domain sovand
SW2(config)#vtp mode server
SW2(config)#spanning-tree vlan 10 root primary
SW2(config)#spanning-tree vlan 20 root primary
SW1:
SW1(config)#int range f0/21 - 22
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config)#vtp domain sovand
SW1(config)#vtp mode client
SW1(config)#spanning-tree vlan 10 root secondery
SW1(config)#spanning-tree vlan 20 root secondery
SW1(config)#int range f0/6 - 9
SW1(config-if-range)#spanning-tree portfast //接入端口快速收敛
查看生成树:
SW-2#show spanning-tree
VLAN0010
Spanning tree enabled protocol ieee
Root ID Priority 10
Address 000b.fdd3.6b00
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 10 (priority 0 sys-id-ext 10)
Address 000b.fdd3.6b00
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/23 Desg FWD 19 128.23 P2p
Fa0/24 Desg FWD 19 128.24 P2p
VLAN0020
Spanning tree enabled protocol ieee
Root ID Priority 20
Address 000b.fdd3.6b00
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 20 (priority 0 sys-id-ext 20)
Address 000b.fdd3.6b00
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/8 Desg FWD 19 128.8 P2p
Fa0/23 Desg FWD 19 128.23 P2p
Fa0/24 Desg FWD 19 128.24 P2p
2、开启生成树安全机制
由于要求office区域接入交换机后进入正常的生成树状态,students区域接入交换机后down掉。所以要在office区域接口上配置BPDU过滤,students区域接口上配置BPDU防护。为确保SW2为根桥,需要在SW2上配置根防护。
SW1:
SW1(config)#int range f0/7 - 8
SW1(config-if-range)# spanning-tree bpdufilter enable //开启BPDU过滤
SW1(config)#int f0/6
SW1(config-if)#spanning-tree bpduguard enable //开启BPDU防护
SW1(config)#int f0/9
SW1(config-if)#spanning-tree bpduguard enable
SW2:
SW1(config)#int range f0/23 - 24
SW1(config-if-range)#spanning-tree guard root //开启根防护
3、配置防ARP攻击机制
由于office网段地址静态分配,所以需要手动将PC的IP地址和MAC地址进行绑定。Students网段地址为动态分配,所以需配置动态防护。
SW1:
SW1(config)#ip arp inspection vlan 10,20
SW1(config)#arp access-list office //定义名为office的ARP控制列表
SW1(config)#permit ip host 192.168.1.10 mac host 0030.8570.bfa0 //分别绑定VLAN10的两台PC
SW1(config)#permit ip host 192.168.1.20 mac host 0008.e341.f320
SW1(config)#ip arp inspection filter office vlan 10
SW1(config)#int range f0/6 - 9
SW1(config-if-range)#ip arp inspection trust
SW1(config-if-range)#ip arp inspection limit rate 100 //限制接口ARP广播包每秒100个
SW1(config)#int range f0/21 - 22
SW1(config-if-range)#ip arp inspection trust
现将VLAN20网段中一台PC的IP修改得和另一台一样,然后Ping网关:
O-PC2#ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
SW-1#
*Mar 1 05:49:04.818: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/7, vlan 10.([0008.e341.f320/192.168.1.10/0000.0000.0000/192.168.1.1/05:49:04 UTC Mon Mar 1 1993])
SW-1#
*Mar 1 05:49:06.831: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/7, vlan 10.([0008.e341.f320/192.168.1.10/0000.0000.0000/192.168.1.1/05:49:06 UTC Mon Mar 1 1993])
SW-1#
*Mar 1 05:49:08.844: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/7, vlan 10.([0008.e341.f320/192.168.1.10/0000.0000.0000/192.168.1.1/05:49:08 UTC Mon Mar 1 1993])
SW-1#
*Mar 1 05:49:10.858: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/7, vlan 10.([0008.e341.f320/192.168.1.10/0000.0000.0000/192.168.1.1/05:49:10 UTC Mon Mar 1 1993])
SW-1#
*Mar 1 05:49:12.871: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/7, vlan 10.([0008.e341.f320/192.168.1.10/0000.0000.0000/192.168.1.1/05:49:12 UTC Mon Mar 1 1993])
ARP欺骗被成功制止,将PC2的IP改回后又可ping通:
O-PC2#ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/202/1002 ms
4、禁止office网段PC互访
可定义扩展访问控制列表,然后再VACL中调用。
SW1:
SW1(config)#access-list 110 permit ip host 192.168.1.10 host 192.168.1.20
SW1(config)#access-list 110 permit ip host 192.168.1.20 host 192.168.1.10
SW1(config)#vlan access-map sovand 10
SW1(config)#match ip address 110
SW1(config)#action forward
SW1(config)#vlan filter sovand vlan-list 10
5、配置DHCP服务器
SW2:
SW2(config)#ip routing
SW2(config)#int vlan 10
SW2(config-if)#ip add 192.168.1.1 255.255.255.0 //VLAN10的网关
SW2(config-if)#no shut
SW2(config)#int vlan 20
SW2(config-if)#ip add 192.168.2.1 255.255.255.0 //VLAN20的网关
SW2(config-if)#no shut
SW2(config)#int f0/8
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 20
DHCP-SERVER:
DHCP-SERVER(config)#int f0/0
DHCP-SERVER(config)#ip add 192.168.2.2
DHCP-SERVER(config)#no ip routing
DHCP-SERVER(config-dhcp)#ip dhcp pool students
DHCP-SERVER(config-dhcp)#network 192.168.2.0 /24
DHCP-SERVER(config-dhcp)#ip default-router 192.168.2.1
DHCP-SERVER(config)#ip dhcp exclude-address 192.168.2.1 192.168.2.10
6、开启DHCP探测
SW1:
SW1(config)#ip dhcp snooping
SW1(config)#int range f0/21 - 22
SW1(config-if-range)#ip dhcp snooping trust //设为信任接口
7、配置SNMP服务器管理所有设备
在所有主要设备上输入以下命令:
snmp-server community sovand ro //设置SNMP服务器为可读
snmp-server community cisco rw //设置SNMP服务器为可写
snmp-server enable traps //允许SNMP服务器的所有功能
snmp-server host 192.168.2.3 traps cisco //指定服务器IP
将PC接入SW2,在SW2将PC所在的端口划入VLAN20,PC上安装SNMP软件。打开后可以发现所有设备均可在软件中管理(图片非原图,仅供参考):
8、在SNMP服务器上启用日志管理功能
在所有主要设备上输入以下命令:
logging on //开启日志功能
logging trap 7 //设置日志权限为最高(0-7)
logging host 192.168.2.3 //指定服务器IP
查看服务器上的日志(非原图,仅供参考):
本文出自 “寻寻觅觅” 博客,转载请与作者联系!