CCNP交换实验(交换安全特性)

实验要求:
1、Office区域地址静态分配,不允许office发生ARP攻击,不允许office网段PC互访,student区域主机自动获取地址,设法预防students网段地址发生ARP攻击
2、在交换机开启生成树安全机制,接入层交换机不能成为根,接入接口快速收敛。
3、当office区域接口接入交换机后进入正常的生成树状态。Students区域接入交换机后直接down
4、管理员可以安全管理所有网络设备,并能查看时间可靠的日志信息
5、管理员PC监控所有出口流量,并且限制每个接入层接口的广播包不超过100个
实验拓扑:

clip_image002

实验步骤:
1、 配置STP和VTP协议
SW2:
SW2(config)#vlan 10
SW2(config-vlan)#vlan 20
SW2(config-vlan)#exit
SW2(config)#int range f0/23 - 24
SW2(config-if-range)#switchport trunk encapsulation dot1q  
SW2(config-if-range)#switchport mode trunk
SW2(config)#vtp domain sovand  
SW2(config)#vtp mode server  
SW2(config)#spanning-tree vlan 10 root primary
SW2(config)#spanning-tree vlan 20 root primary
SW1:
SW1(config)#int range f0/21 - 22
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config)#vtp domain sovand
SW1(config)#vtp mode client
SW1(config)#spanning-tree vlan 10 root secondery  
SW1(config)#spanning-tree vlan 20 root secondery
SW1(config)#int range f0/6 - 9
SW1(config-if-range)#spanning-tree portfast   //接入端口快速收敛
查看生成树:
SW-2#show spanning-tree
VLAN0010
  Spanning tree enabled protocol ieee
  Root ID    Priority    10
             Address     000b.fdd3.6b00
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    10     (priority 0 sys-id-ext 10)
             Address     000b.fdd3.6b00
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time 300

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/23           Desg FWD 19        128.23   P2p
Fa0/24           Desg FWD 19        128.24   P2p 
VLAN0020
  Spanning tree enabled protocol ieee
  Root ID    Priority    20
             Address     000b.fdd3.6b00
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    20     (priority 0 sys-id-ext 20)
             Address     000b.fdd3.6b00
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time 300

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/8            Desg FWD 19        128.8    P2p
Fa0/23           Desg FWD 19        128.23   P2p
Fa0/24           Desg FWD 19        128.24   P2p

2、开启生成树安全机制
由于要求office区域接入交换机后进入正常的生成树状态,students区域接入交换机后down掉。所以要在office区域接口上配置BPDU过滤,students区域接口上配置BPDU防护。为确保SW2为根桥,需要在SW2上配置根防护。
SW1:
SW1(config)#int range f0/7 - 8
SW1(config-if-range)# spanning-tree bpdufilter enable   //开启BPDU过滤
SW1(config)#int f0/6
SW1(config-if)#spanning-tree bpduguard enable   //开启BPDU防护
SW1(config)#int f0/9
SW1(config-if)#spanning-tree bpduguard enable
SW2:
SW1(config)#int range f0/23 - 24
SW1(config-if-range)#spanning-tree guard root   //开启根防护
3、配置防ARP攻击机制
由于office网段地址静态分配,所以需要手动将PC的IP地址和MAC地址进行绑定。Students网段地址为动态分配,所以需配置动态防护。
SW1:
SW1(config)#ip arp inspection vlan 10,20
SW1(config)#arp access-list office   //定义名为office的ARP控制列表
SW1(config)#permit ip host 192.168.1.10 mac host 0030.8570.bfa0 //分别绑定VLAN10的两台PC
SW1(config)#permit ip host 192.168.1.20 mac host 0008.e341.f320
SW1(config)#ip arp inspection filter office vlan  10
SW1(config)#int range f0/6 - 9
SW1(config-if-range)#ip arp inspection trust
SW1(config-if-range)#ip arp inspection limit rate 100   //限制接口ARP广播包每秒100个
SW1(config)#int range f0/21 - 22
SW1(config-if-range)#ip arp inspection trust
现将VLAN20网段中一台PC的IP修改得和另一台一样,然后Ping网关:
O-PC2#ping 192.168.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

SW-1#
*Mar  1 05:49:04.818: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/7, vlan 10.([0008.e341.f320/192.168.1.10/0000.0000.0000/192.168.1.1/05:49:04 UTC Mon Mar 1 1993])
SW-1#
*Mar  1 05:49:06.831: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/7, vlan 10.([0008.e341.f320/192.168.1.10/0000.0000.0000/192.168.1.1/05:49:06 UTC Mon Mar 1 1993])
SW-1#
*Mar  1 05:49:08.844: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/7, vlan 10.([0008.e341.f320/192.168.1.10/0000.0000.0000/192.168.1.1/05:49:08 UTC Mon Mar 1 1993])
SW-1#
*Mar  1 05:49:10.858: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/7, vlan 10.([0008.e341.f320/192.168.1.10/0000.0000.0000/192.168.1.1/05:49:10 UTC Mon Mar 1 1993])
SW-1#
*Mar  1 05:49:12.871: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/7, vlan 10.([0008.e341.f320/192.168.1.10/0000.0000.0000/192.168.1.1/05:49:12 UTC Mon Mar 1 1993])

ARP欺骗被成功制止,将PC2的IP改回后又可ping通:
O-PC2#ping 192.168.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/202/1002 ms

4、禁止office网段PC互访
可定义扩展访问控制列表,然后再VACL中调用。
SW1:
SW1(config)#access-list 110 permit ip host 192.168.1.10 host 192.168.1.20
SW1(config)#access-list 110 permit ip host 192.168.1.20 host 192.168.1.10
SW1(config)#vlan access-map sovand 10
SW1(config)#match ip address 110
SW1(config)#action forward
SW1(config)#vlan filter sovand vlan-list 10
5、配置DHCP服务器
SW2:
SW2(config)#ip routing
SW2(config)#int vlan 10  
SW2(config-if)#ip add 192.168.1.1 255.255.255.0   //VLAN10的网关
SW2(config-if)#no shut
SW2(config)#int vlan 20  
SW2(config-if)#ip add 192.168.2.1 255.255.255.0   //VLAN20的网关
SW2(config-if)#no shut
SW2(config)#int f0/8
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 20
DHCP-SERVER:
DHCP-SERVER(config)#int f0/0
DHCP-SERVER(config)#ip add 192.168.2.2
DHCP-SERVER(config)#no ip routing
DHCP-SERVER(config-dhcp)#ip dhcp pool students
DHCP-SERVER(config-dhcp)#network 192.168.2.0 /24
DHCP-SERVER(config-dhcp)#ip default-router 192.168.2.1
DHCP-SERVER(config)#ip dhcp exclude-address 192.168.2.1 192.168.2.10
6、开启DHCP探测
SW1:
SW1(config)#ip dhcp snooping
SW1(config)#int range f0/21 - 22
SW1(config-if-range)#ip dhcp snooping trust   //设为信任接口
7、配置SNMP服务器管理所有设备
在所有主要设备上输入以下命令:
snmp-server community sovand ro   //设置SNMP服务器为可读
snmp-server community cisco rw   //设置SNMP服务器为可写
snmp-server  enable traps   //允许SNMP服务器的所有功能
snmp-server  host 192.168.2.3 traps cisco   //指定服务器IP
将PC接入SW2,在SW2将PC所在的端口划入VLAN20,PC上安装SNMP软件。打开后可以发现所有设备均可在软件中管理(图片非原图,仅供参考):
clip_image002[8]
8、在SNMP服务器上启用日志管理功能
在所有主要设备上输入以下命令:
logging on   //开启日志功能
logging trap 7   //设置日志权限为最高(0-7)
logging host 192.168.2.3   //指定服务器IP
查看服务器上的日志(非原图,仅供参考):
clip_image002[10]

本文出自 “寻寻觅觅” 博客,转载请与作者联系!

你可能感兴趣的:(职场,安全,休闲,交换,ccnp)