欢迎来到天天文库
浏览记录
ID:43456308
大小:601.01 KB
页数:8页
时间:2019-10-03
《思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、网络拓扑图如下:根据图示连接设备。在本次试验中,具体端口情况如上图数字标出。核心交换机(core)设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。IP地址分配:Router:e0:192.168.1.1Core:f0/1:192.168.1.2Svi接口:Corevlan10:172.16.10.254Vlan20:172.16.20.254Vlan30:172.16.30.254Accessvlan10:172.16.10.253Vlan20:172.16.20.253Vlan30:172.16.30.253服务器IP地址:192.168.30.1O
2、ffice区域网段地址:PC1:192.168.10.1PC2:192.168.10.2路由器清空配置命令:enerasestartup-configReload交换机清空配置命令:enerasestartup-configdeletevlan.datReload加速命令:enconftnoipdomainlookuplinecon0exec-timeout00loggingsynhostname一、OFFICE区域地址静态分配,防止OFFICE网络发生ARP攻击,不允许OFFICE网段PC互访;STUDENTS区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STU
3、DENTS网段地址发生ARP攻击;1、基本配置SW1的配置:SW1(config)#vtpdomaincisco//SW1配置vtp,模式为server,SW2模式为clientSW1(config)#vtppasswordsovandSW1(config)#vtpmodeserverSW1(config)#vlan10SW1(config)#intrangef0/3,f0/4//链路捆绑SW1(config-if-range)#Channel-protocolpagpSW1(config-if-range)#Channel-group10modeonSW1(config)#
4、intport-channel10//链路设置为trunk模式,封装802.1q协议,三层交换机默认没有封装该协议SW1(config-if)#switchporttrunkencapsulationdot1qSW1(config-if)#switchportmodetrunkSW2配置:SW2(config)#vtpdomainciscoSW2(config)#vtppasswordsovandSW2(config)#vtpmodeclientSW2(config)#intrangef0/3,f0/4SW2(config-if-range)#Channel-protocol
5、pagpSW2(config-if-range)#Channel-group10modeonCreatingaport-channelinterfacePort-channel10SW2(config)#intport-channel10SW2(config-if)#switchporttrunkencapsulationdot1qSW2(config-if)#switchportmodetrunkSW2(config)#intf0/1//把f0/1,f0/2划入vlan10SW2(config-if)#switchportmodeaccessSW2(config-if)#s
6、witchportaccessvlan10SW2(config-if)#intf0/2SW2(config-if)#switchportmodeaccessSW2(config-if)#switchportaccessvlan102、vlanaclOffice区域禁止PC机互访:使用showinte0/0命令查看mac地址SW2(config)#macaccess-listextendedmacaclSW2(config-ext-macl)#permithost0007.8562.9de0host0007.8562.9c20//要禁止双向通信SW2(config-ext-ma
7、cl)#permithost0007.8562.9c20host0007.8562.9de0SW2(config)#vlanaccess-mapvmap10//禁止pc间的通信SW2(config-access-map)#matchmacaddmacaclSW2(config-access-map)#actiondropSW2(config)#vlanaccess-mapvmap20//对其他数据放行,不然pc机无法ping通svi口、网关SW2(config-access-map)#actionfor
此文档下载收益归作者所有