HCIP--以太网交换安全(总实验)

实验背景

假如你是公司的网络管理员,为了提高公司网络安全性,你决定在接入交换机部署一些安全技术:端口隔、端口安全、DHCP snooping、IPSG。

实验拓扑图

实验的要求:

1.在R1、R2连接在GE0/0/1和GE0/0/2接口下,均划分到vlan10;

2.S1和S2互联接口配置为trunk模式,放通vlan 10;

3.S2开启DHCP服务器,为R1、R2静态分配固定IP地址;

4.在S1进行以太网安全加固:配置DHCP snooping 、IPSG、端口安全、端口隔离;

5.验证是否连通。

任务详细步骤

(一)配置DHCP

(1)在S1上创建vlan 10,并在G0/0/1和G0/0/2配置access模式,g0/0/3接口trunk模式。

[S1]vlan 10[S1-vlan10]q[S1]int g0/0/1[S1-GigabitEthernet0/0/1]port link-type access[S1-GigabitEthernet0/0/1]port default vlan 10[S1-GigabitEthernet0/0/1]q[S1]int g0/0/2[S1-GigabitEthernet0/0/2]port link-type access[S1-GigabitEthernet0/0/2]port default vlan 10[S1-GigabitEthernet0/0/2]q[S1]int g0/0/3[S1-GigabitEthernet0/0/3]port link-type trunk[S1-GigabitEthernet0/0/3]port trunk allow-pass vlan 10[S1-GigabitEthernet0/0/3]q

(2)在S2的G0/0/1接口为trunk模式,允许VLAN 10通过,和创建vlanif作为R1、R2的网关

[S2]vlan 10[S2-vlan10]q[S2]int g0/0/1[S2-GigabitEthernet0/0/1]port link-type trunk[S2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10[S2-GigabitEthernet0/0/1]q[S2]int vlan10[S2-Vlanif10]ip address 172.168.10.254 255.255.255.0[S2-Vlanif10]q

(3)在S2上开启DHCP服务,配置全局地址池,为R1、R2分配固定IP地址

[S2]dhcp enable[S2]ip pool vlan10[S2-ip-pool-vlan10]gateway-list 172.168.10.254[S2-ip-pool-vlan10]network 172.168.10.0 mask 255.255.255.0[S2-ip-pool-vlan10]dns-list 172.168.10.254[S2-ip-pool-vlan10]q

(4)S3的VLANIF 10 接口使能DHCP server 

[S2]int vlanif 10[S2-Vlanif10]dhcp select global

(5)查看R1、R2的接口MAC地址 

R1

R2

(6)为R1、R2分配固定IP地址

[S2]ip pool vlan10[S2-ip-pool-vlan10]static-bind ip-address 172.168.10.1 mac-address 00e0-fcf4-272c[S2-ip-pool-vlan10]static-bind ip-address 172.168.10.2 mac-address 00e0-fcb8-535a

(7)配置R1、R2通过DHCP方式获取IP地址

[R1]dhcp enable[R1]int g0/0/1[R1-GigabitEthernet0/0/1]ip address dhcp-alloc[R1-GigabitEthernet0/0/1]q[R2]dhcp enable[R2]int g0/0/1[R2-GigabitEthernet0/0/1]ip address dhcp-alloc[R2-GigabitEthernet0/0/1]q[R2]

(8)查看R1、R2地址分配结果

R1、R2已经成功通过DHCP获取分配的固定IP地址了。

(二)配置DHCP snooping

(1)S1开启全局DHCP Snooping,将连接S2的接口配置为信任接口

[S1]dhcp enable[S1]dhcp snooping enable[S1]int g0/0/3[S1-GigabitEthernet0/0/3]dhcp snooping trusted[S1-GigabitEthernet0/0/3]q

注意:需要先开启DHCP功能先。

(2)使能S1连接R1、R2接口的DHCP snooping功能

[S1]int g0/0/1[S1-GigabitEthernet0/0/1]dhcp sn[S1-GigabitEthernet0/0/1]dhcp snooping enable[S1-GigabitEthernet0/0/1]q[S1]int g0/0/2[S1-GigabitEthernet0/0/2]dhcp snooping enable[S1-GigabitEthernet0/0/2]q

关闭R1、R2的接口,等待一段时间之后重新打开,重新进行DHCP地址获取,这样就可以获得到IP了关闭命令是shutdown,注意要先进入接口噢。

(3)查看S1上形式的DHCP snooping动态用户表项

此时,已经形成动态用户表项了。 

(三)配置IPSG(IP source guard)

(1)使能S1 g0/0/1、g0/0/2接口的IPSG功能

[S1]int g0/0/1[S1-GigabitEthernet0/0/1]ip source check user-bind enable[S1-GigabitEthernet0/0/1]ip source check user-bind alarm enable[S1-GigabitEthernet0/0/1]ip source check user-bind alarm threshold 3[S1-GigabitEthernet0/0/1]q[S1]int g0/0/2[S1-GigabitEthernet0/0/2]ip source check user-bind enable[S1-GigabitEthernet0/0/2]ip source check user-bind alarm enable[S1-GigabitEthernet0/0/2]ip source check user-bind alarm threshold 3[S1-GigabitEthernet0/0/2]q

开启IP报告检测告警功能,丢弃的IP报文阈值为3。

(2)在R1和R2上测试于网关的连通性

此时R1和R2能够正常与网关进行通信了。 

(3)为了验证是否真的成功,可以修改R1接口的IP地址。这样无法通过IPSG检查。

[R1]int g0/0/1[R1-GigabitEthernet0/0/1]ip address 172.168.10.11 24[R1-GigabitEthernet0/0/1]q

(4)用R1再次测试于网关的连通性

从这里看出R1已经无法于网关进行通信了.

这时要手动创建静态绑定表项,才能继续访问了,命令如下:

[S1]user-bind static ip-address 172.168.10.11 mac-address 00e0-fcf4-272c int g0/0/1 vlan 10

(5)查看IPSG静态绑定表项

(6)再次检查R1与网关的连通性

由于存在IPSG静态绑定表项,此时R1可以正常与网关进行通信了。 

(四) 配置端口安全

(1)在S1连接R2的端口开启端口安全

[S1]int g0/0/2[S1-GigabitEthernet0/0/2]port-security enable[S1-GigabitEthernet0/0/2]port-security max-mac-num 1[S1-GigabitEthernet0/0/2]port-security mac-address sticky[S1-GigabitEthernet0/0/2]port-security protect-action restrict[S1-GigabitEthernet0/0/2]q

测试R2与网关通信,触发Sticky类型的MAC地址表项生成

(2)查看S1上生成的sticky类型的MAC地址表项

(五)配置端口隔离组

(1)为限制终端之间的访问,在S1上开启端口分离,限制R1和R2直接按的互访。

限制之前测试一下R1、R2的连通性

(2)S1上开启端口隔离,隔离模式为L2

[S1]port-isolate mode l2[S1]int g0/0/1[S1-GigabitEthernet0/0/1]port-isolate enable group 1[S1-GigabitEthernet0/0/1]q[S1]int g0/0/2[S1-GigabitEthernet0/0/2]port-isolate enable group 1[S1-GigabitEthernet0/0/2]q

(3)再次测试R1、R2之间的连通性

 此时R1和R2之间无法进行通信的。

(4)在S2的vlanif 10 下开启vlan内的ARP代理

[S2]int vlanif10[S2-Vlanif10]arp-proxy inner-sub-vlan-proxy enable[S2-Vlanif10]q

(5)清空R1、R2的ARP表项

这时,R1、R2重新进行ARP学习,由于网关开启了ARP代理,R1、R2之间将能够通过网关进行通信 

(6)再次测试R1、R2之间的连通性

从这看出:R1、R2之间通信恢复正常了。 

查看R1 的ARP表项

此时可以观察到ARP表项中172.168.10.2与172.168.10.254的MAC地址一致了。 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/58639.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

高考新出路,综合评价招生全攻略,让你低分高就进名校

在高考改革的浪潮中,综合评价招生模式逐渐兴起,成为众多考生和家长关注的焦点。那么,什么是综合评价呢?简单来说,就是综合考量高考成绩、高校考核结果、高中学业水平考试成绩、综合素质评价以及其他特殊要求等五个维度…

一个图像处理的实验设计

在Rafael Gonzalez和Richard Woods的《数字图像处理》中有一道这样的实验设计题,我发现特别适合说明多个阈值的全局阈值分割的示例。 我嫌他说话啰嗦,修改了一下作为考试题。 基本流程 图像分割 选取中间灰度级的区域标记。 2. 形态学后处理 开运…

【Pandas】使用 pandas 处理多层级 Excel 表头的实用指南

背景 在数据分析和业务报告中,Excel 文件广泛用于存储和展示信息,特别是在需要对数据进行分类和分组时。许多商业场景中,数据会以多层级表头的形式呈现,体现不同维度的信息。例如,在财务报表中,可能按年度…

react 框架应用+总结+参考

文章目录 react 框架 从零开始1. 项目初始化2. 项目结构3. 基础组件示例TableComponent.jsTabComponent.jsLoadingComponent.jsError404Component.js 4. 页面示例HomePage.jsAboutPage.js 5. 路由配置(App.js)6. 数据状态管理(简单示例&#…

【YApi】接口管理平台

一、简介 YApi 是一个用于前后端开发团队协作的 API 管理平台,帮助团队更加高效地进行 API 接口的设计、测试、文档管理和版本控制等工作。 YApi 主要功能: API 设计和管理:提供 API 设计和文档生成工具,使开发者能够轻松创建、…

ctfshow(159->162)--文件上传漏洞

Web159 考点: 前端校验MIME验证黑名单 思路: 上传.user.ini文件: 文件内容auto_prepend_fileshell.png 由于网页存在前端过滤,只允许上传.png文件,所以我们将文件名修改为.user.ini.png上传,然后抓包删除.png后缀名…

使用pytest单元测试框架执行单元测试

Pytest 是一个功能强大且灵活的 Python 单元测试框架,它使编写、组织和运行测试变得更加简单。以下是 Pytest 的一些主要特点和优点: 简单易用:Pytest 提供了简洁而直观的语法,使编写测试用例变得非常容易。它支持使用 assert 语…

Redis 持久化 问题

前言 相关系列 《Redis & 目录》《Redis & 持久化 & 源码》《Redis & 持久化 & 总结》《Redis & 持久化 & 问题》 参考文献 《Redis的持久化详解》 Redis有哪些持久化机制?各自的优缺点是什么? RDB Redis DataBas…

可视化平台FineBI的安装及简单使用

本章知识简介 主线B: 安装FineBI 主线C: FineBI的使用. 本章目标: 1:了解FineBI的安装; [了解]"傻瓜式"安装 2:知道FineBI的使用流程; [了解]a.连接数据b.创建组件与分析数据c.可视化组件d.添加交互效果e.制作仪表板 3:知道如何连接数据; [重点]添加业…

在Spring Boot框架下的Java异常处理

1. Java基础异常处理 1.1 Exception类和RuntimeException类 在Java中,异常是程序运行过程中发生的错误或意外情况,异常可以打断正常的程序流程。Java的异常层次结构中,Throwable类是所有错误和异常的父类,分为两个主要子类&…

推荐一款优秀的pdf编辑器:Ashampoo PDF Pro

Ashampoo PDF Pro是管理和编辑 PDF 文档的完整解决方案。程序拥有您创建、转换、编辑和保护文档所需的一切功能。根据需要可以创建特定大小的文档,跨设备可读,还可以保护文件。现在您还能像编辑Word文档一样编辑PDF! 软件特点 轻松处理文字 如 Microso…

云原生后端开发教程

云原生后端开发教程 引言 随着云计算的普及,云原生架构逐渐成为现代软件开发的主流。云原生不仅仅是将应用部署到云上,而是一种构建和运行应用的方式,充分利用云计算的弹性和灵活性。本文将深入探讨云原生后端开发的核心概念、工具和实践&a…

Docker-in-Docker(DinD)

Docker-in-Docker(DinD)是一种在 Docker 容器内部运行 Docker 引擎的技术。这种方法允许您在一个 Docker 容器内构建和运行其他 Docker 容器。以下是 Docker-in-Docker 的工作原理及其使用场景的详细解释。 工作原理 1.1 Docker 引擎的架构 Docker 引擎…

100种算法【Python版】第28篇——扩展欧几里得算法

本文目录 1 算法思想2 示例说明3 python代码1 算法思想 扩展欧几里得算法(Extended Euclidean Algorithm)是用于计算两个整数 a a a 和 b b b<

XQT_UI 组件|02| 按钮 XPushButton

XPushButton 使用文档 简介 XPushButton 是一个自定义的按钮类&#xff0c;基于 Qt 框架构建&#xff0c;提供了丰富的样式和功能选项。它允许开发者轻松创建具有不同外观和行为的按钮&#xff0c;以满足用户界面的需求。 特性 颜色设置&#xff1a;支持多种颜色选择。样式设…

Linux线程安全(二)条件变量实现线程同步

目录 条件变量 条件变量初始化和唤醒 键盘触发条件变量唤醒线程demo 条件变量的等待 条件变量定时等待demo 条线变量实现多线程间的同步 条件变量 条件变量是为了控制多个线程的同步工作而设计的 比如说一个系统中有多个线程的存在但有且仅有一个线程在工作&#xff0c…

如何在浏览器中打开预览pdf,而不是下载

背景 上传了pdf文件之后&#xff0c;点击查看&#xff0c;跳转pdf的url&#xff0c;期望是浏览器中预览&#xff0c;而不是直接下载 原理 需要pdf资源url的响应头是下面下面这2个属性 Content-Type: application/pdf Content-Disposition: inline; 如何做 如果pdf资源服务…

leetcode hot100【LeetCode 230. 二叉搜索树中第K小的元素】java实现

LeetCode 230. 二叉搜索树中第K小的元素 题目描述 给定一个二叉搜索树的根节点 root&#xff0c;和一个整数 k&#xff0c;请你找出其中第 k 小的节点。 注意&#xff1a; 题目保证 k 的有效性。 示例&#xff1a; 给定二叉搜索树&#xff1a; 5/ \3 7/ \ \ 2 4 …

面对大模型,我是智者还是智障?基于个人能力量化问题测试!

目录 一、背景二、过程第一问&#xff1a;一个人拥有什么样的能力&#xff0c;可以在每天的工作生活中深度思考&#xff0c;并且能阶段性的突破自己的认知&#xff0c;不断迭代&#xff1f; 另外还可以再自己认知层次的基数上&#xff0c;做到思想上移和行动下移的结果&#xf…