返回
思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)

思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)

ID:43456308

大小:601.01 KB

页数:8页

时间:2019-10-03

思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)_第1页
思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)_第2页
思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)_第3页
思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)_第4页
思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)_第5页
资源描述:

《思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网络拓扑图如下:根据图示连接设备。在本次试验中,具体端口情况如上图数字标出。核心交换机(core)设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。IP地址分配:Router:e0:192.168.1.1Core:f0/1:192.168.1.2Svi接口:Corevlan10:172.16.10.254Vlan20:172.16.20.254Vlan30:172.16.30.254Accessvlan10:172.16.10.253Vlan20:172.16.20.253Vlan30:172.16.30.253服务器IP地址:192.168.30.1O

2、ffice区域网段地址:PC1:192.168.10.1PC2:192.168.10.2路由器清空配置命令:enerasestartup-configReload交换机清空配置命令:enerasestartup-configdeletevlan.datReload加速命令:enconftnoipdomainlookuplinecon0exec-timeout00loggingsynhostname一、OFFICE区域地址静态分配,防止OFFICE网络发生ARP攻击,不允许OFFICE网段PC互访;STUDENTS区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STU

3、DENTS网段地址发生ARP攻击;1、基本配置SW1的配置:SW1(config)#vtpdomaincisco//SW1配置vtp,模式为server,SW2模式为clientSW1(config)#vtppasswordsovandSW1(config)#vtpmodeserverSW1(config)#vlan10SW1(config)#intrangef0/3,f0/4//链路捆绑SW1(config-if-range)#Channel-protocolpagpSW1(config-if-range)#Channel-group10modeonSW1(config)#

4、intport-channel10//链路设置为trunk模式,封装802.1q协议,三层交换机默认没有封装该协议SW1(config-if)#switchporttrunkencapsulationdot1qSW1(config-if)#switchportmodetrunkSW2配置:SW2(config)#vtpdomainciscoSW2(config)#vtppasswordsovandSW2(config)#vtpmodeclientSW2(config)#intrangef0/3,f0/4SW2(config-if-range)#Channel-protocol

5、pagpSW2(config-if-range)#Channel-group10modeonCreatingaport-channelinterfacePort-channel10SW2(config)#intport-channel10SW2(config-if)#switchporttrunkencapsulationdot1qSW2(config-if)#switchportmodetrunkSW2(config)#intf0/1//把f0/1,f0/2划入vlan10SW2(config-if)#switchportmodeaccessSW2(config-if)#s

6、witchportaccessvlan10SW2(config-if)#intf0/2SW2(config-if)#switchportmodeaccessSW2(config-if)#switchportaccessvlan102、vlanaclOffice区域禁止PC机互访:使用showinte0/0命令查看mac地址SW2(config)#macaccess-listextendedmacaclSW2(config-ext-macl)#permithost0007.8562.9de0host0007.8562.9c20//要禁止双向通信SW2(config-ext-ma

7、cl)#permithost0007.8562.9c20host0007.8562.9de0SW2(config)#vlanaccess-mapvmap10//禁止pc间的通信SW2(config-access-map)#matchmacaddmacaclSW2(config-access-map)#actiondropSW2(config)#vlanaccess-mapvmap20//对其他数据放行,不然pc机无法ping通svi口、网关SW2(config-access-map)#actionfor

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。