HCIP--以太网交换安全(总实验)

实验背景

假如你是公司的网络管理员,为了提高公司网络安全性,你决定在接入交换机部署一些安全技术:端口隔、端口安全、DHCP snooping、IPSG。

实验拓扑图

实验的要求:

1.在R1、R2连接在GE0/0/1和GE0/0/2接口下,均划分到vlan10;

2.S1和S2互联接口配置为trunk模式,放通vlan 10;

3.S2开启DHCP服务器,为R1、R2静态分配固定IP地址;

4.在S1进行以太网安全加固:配置DHCP snooping 、IPSG、端口安全、端口隔离;

5.验证是否连通。

任务详细步骤

(一)配置DHCP

(1)在S1上创建vlan 10,并在G0/0/1和G0/0/2配置access模式,g0/0/3接口trunk模式。

[S1]vlan 10[S1-vlan10]q[S1]int g0/0/1[S1-GigabitEthernet0/0/1]port link-type access[S1-GigabitEthernet0/0/1]port default vlan 10[S1-GigabitEthernet0/0/1]q[S1]int g0/0/2[S1-GigabitEthernet0/0/2]port link-type access[S1-GigabitEthernet0/0/2]port default vlan 10[S1-GigabitEthernet0/0/2]q[S1]int g0/0/3[S1-GigabitEthernet0/0/3]port link-type trunk[S1-GigabitEthernet0/0/3]port trunk allow-pass vlan 10[S1-GigabitEthernet0/0/3]q

(2)在S2的G0/0/1接口为trunk模式,允许VLAN 10通过,和创建vlanif作为R1、R2的网关

[S2]vlan 10[S2-vlan10]q[S2]int g0/0/1[S2-GigabitEthernet0/0/1]port link-type trunk[S2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10[S2-GigabitEthernet0/0/1]q[S2]int vlan10[S2-Vlanif10]ip address 172.168.10.254 255.255.255.0[S2-Vlanif10]q

(3)在S2上开启DHCP服务,配置全局地址池,为R1、R2分配固定IP地址

[S2]dhcp enable[S2]ip pool vlan10[S2-ip-pool-vlan10]gateway-list 172.168.10.254[S2-ip-pool-vlan10]network 172.168.10.0 mask 255.255.255.0[S2-ip-pool-vlan10]dns-list 172.168.10.254[S2-ip-pool-vlan10]q

(4)S3的VLANIF 10 接口使能DHCP server 

[S2]int vlanif 10[S2-Vlanif10]dhcp select global

(5)查看R1、R2的接口MAC地址 

R1

R2

(6)为R1、R2分配固定IP地址

[S2]ip pool vlan10[S2-ip-pool-vlan10]static-bind ip-address 172.168.10.1 mac-address 00e0-fcf4-272c[S2-ip-pool-vlan10]static-bind ip-address 172.168.10.2 mac-address 00e0-fcb8-535a

(7)配置R1、R2通过DHCP方式获取IP地址

[R1]dhcp enable[R1]int g0/0/1[R1-GigabitEthernet0/0/1]ip address dhcp-alloc[R1-GigabitEthernet0/0/1]q[R2]dhcp enable[R2]int g0/0/1[R2-GigabitEthernet0/0/1]ip address dhcp-alloc[R2-GigabitEthernet0/0/1]q[R2]

(8)查看R1、R2地址分配结果

R1、R2已经成功通过DHCP获取分配的固定IP地址了。

(二)配置DHCP snooping

(1)S1开启全局DHCP Snooping,将连接S2的接口配置为信任接口

[S1]dhcp enable[S1]dhcp snooping enable[S1]int g0/0/3[S1-GigabitEthernet0/0/3]dhcp snooping trusted[S1-GigabitEthernet0/0/3]q

注意:需要先开启DHCP功能先。

(2)使能S1连接R1、R2接口的DHCP snooping功能

[S1]int g0/0/1[S1-GigabitEthernet0/0/1]dhcp sn[S1-GigabitEthernet0/0/1]dhcp snooping enable[S1-GigabitEthernet0/0/1]q[S1]int g0/0/2[S1-GigabitEthernet0/0/2]dhcp snooping enable[S1-GigabitEthernet0/0/2]q

关闭R1、R2的接口,等待一段时间之后重新打开,重新进行DHCP地址获取,这样就可以获得到IP了关闭命令是shutdown,注意要先进入接口噢。

(3)查看S1上形式的DHCP snooping动态用户表项

此时,已经形成动态用户表项了。 

(三)配置IPSG(IP source guard)

(1)使能S1 g0/0/1、g0/0/2接口的IPSG功能

[S1]int g0/0/1[S1-GigabitEthernet0/0/1]ip source check user-bind enable[S1-GigabitEthernet0/0/1]ip source check user-bind alarm enable[S1-GigabitEthernet0/0/1]ip source check user-bind alarm threshold 3[S1-GigabitEthernet0/0/1]q[S1]int g0/0/2[S1-GigabitEthernet0/0/2]ip source check user-bind enable[S1-GigabitEthernet0/0/2]ip source check user-bind alarm enable[S1-GigabitEthernet0/0/2]ip source check user-bind alarm threshold 3[S1-GigabitEthernet0/0/2]q

开启IP报告检测告警功能,丢弃的IP报文阈值为3。

(2)在R1和R2上测试于网关的连通性

此时R1和R2能够正常与网关进行通信了。 

(3)为了验证是否真的成功,可以修改R1接口的IP地址。这样无法通过IPSG检查。

[R1]int g0/0/1[R1-GigabitEthernet0/0/1]ip address 172.168.10.11 24[R1-GigabitEthernet0/0/1]q

(4)用R1再次测试于网关的连通性

从这里看出R1已经无法于网关进行通信了.

这时要手动创建静态绑定表项,才能继续访问了,命令如下:

[S1]user-bind static ip-address 172.168.10.11 mac-address 00e0-fcf4-272c int g0/0/1 vlan 10

(5)查看IPSG静态绑定表项

(6)再次检查R1与网关的连通性

由于存在IPSG静态绑定表项,此时R1可以正常与网关进行通信了。 

(四) 配置端口安全

(1)在S1连接R2的端口开启端口安全

[S1]int g0/0/2[S1-GigabitEthernet0/0/2]port-security enable[S1-GigabitEthernet0/0/2]port-security max-mac-num 1[S1-GigabitEthernet0/0/2]port-security mac-address sticky[S1-GigabitEthernet0/0/2]port-security protect-action restrict[S1-GigabitEthernet0/0/2]q

测试R2与网关通信,触发Sticky类型的MAC地址表项生成

(2)查看S1上生成的sticky类型的MAC地址表项

(五)配置端口隔离组

(1)为限制终端之间的访问,在S1上开启端口分离,限制R1和R2直接按的互访。

限制之前测试一下R1、R2的连通性

(2)S1上开启端口隔离,隔离模式为L2

[S1]port-isolate mode l2[S1]int g0/0/1[S1-GigabitEthernet0/0/1]port-isolate enable group 1[S1-GigabitEthernet0/0/1]q[S1]int g0/0/2[S1-GigabitEthernet0/0/2]port-isolate enable group 1[S1-GigabitEthernet0/0/2]q

(3)再次测试R1、R2之间的连通性

 此时R1和R2之间无法进行通信的。

(4)在S2的vlanif 10 下开启vlan内的ARP代理

[S2]int vlanif10[S2-Vlanif10]arp-proxy inner-sub-vlan-proxy enable[S2-Vlanif10]q

(5)清空R1、R2的ARP表项

这时,R1、R2重新进行ARP学习,由于网关开启了ARP代理,R1、R2之间将能够通过网关进行通信 

(6)再次测试R1、R2之间的连通性

从这看出:R1、R2之间通信恢复正常了。 

查看R1 的ARP表项

此时可以观察到ARP表项中172.168.10.2与172.168.10.254的MAC地址一致了。 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/462929.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Qt中的Model与View 3:从样例出发理解QStringListModel和QListView

目录 Ui文件设计如下: 初始化窗口 这里,就是一经典的例子 你可以看到,我们的环境变量是一个经典的List列表,其中承载的就是我们的字符串。我们现在来仿照着搞一个: Ui文件设计如下: 我们下面来逐一演示用…

【VSCode】配置

安装插件 C vscode-icons gdb调试 https://www.bilibili.com/video/BV15U4y1x7b2/?spm_id_from333.999.0.0&vd_sourcedf0ce73d9b9b61e6d4771898f1441f7f https://www.bilibili.com/video/BV1pU4y1W74Z?spm_id_from333.788.recommend_more_video.-1&vd_sourcedf0…

【开发心得】筑梦上海:项目风云录(10)

目录 经典代码背后的故事 贵人相助与价值创造的跳槽哲学 从甲方现场到职场晋升 经典代码背后的故事 写完上一篇故事,本来想休息一段时间,再把思路整理一下。 但是感觉前面的故事里,涉及的故事多,涉及的技术和代码少,很多小伙伴私信希望能够多一些技术和代码的分享。 好…

编译原理第一次实验报告

源代码及附件:编译原理实验一源程序及附件资源-CSDN文库实验题目 实验要求 实验设计 前两部分指出了实验的宏观把控,为了具体实施实验,我们需要预先为实验做出如下设计: 本次实验我选取了C语言的一个子集进行设计词法分析器&…

Elastix-基于ITK的医学图像配准库

作者:翟天保Steven 版权声明:著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处 Elastix是什么? Elastix是一个广泛使用的医学图像配准库,旨在帮助研究人员和临床医生处理和分析医学影像…

清华双臂机器人扩散大模型RDT:先预训练后微调,支持语言、图像、动作多种输入

前言 通过上文介绍的GR2,我们看到了视频生成模型在机器人训练中的应用,无独有偶,和GR2差不多一个时期出来的清华RDT,其模型架构便基于视频生成架构DiT改造而成(当然,该清华团队其实也在DiT之前推出了U-ViT&#xff0c…

远程连接服务

目录 一、远程连接服务器简介 二、连接加密技术简介 三、认证阶段 四、ssh实验 1.修改ssh服务器的端口号 2.拒绝root账户远程登录 3.允许特定用户ssh登录,其他用户无法登录 4.ssh-keygen 一、远程连接服务器简介 概念: 远程连接服务器通过文字或…

YOLOv5之Common.py

文章目录 1.学习目的2.网络模型![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/67b8dbd00c9b4034ba370fc8b8a6031a.jpeg)3.common.py分析 1.学习目的 YOLOv5中最关键一个模型类 2.网络模型 3.common.py分析 # Ultralytics YOLOv5 🚀, AGPL-3.0 license…

获取Windows计算机信息的一些常用命令

一、获取Windoiws计算机基本信息 1.1、获取系统详细信息 # systeminfo的详细用法帮助命令 systeminfo /? 通过获取系统信息可以了解系统版本内容、硬件信息、域信息和补丁情况。 systeminfo 1.2、获取系统已经启动的服务 # net的详细用法帮助命令 net /? 1.2.1、获取系…

通过 codespaces + ipad 来进行算法训练

目录 零、前言 一、环境搭建 二、DockerFile 2.1 主要流程 2.2 个人模板 零、前言 最近遇到了翘不了的水课,想在课上写题,但是游戏本一个是太重,一个是续航不行,然后想到了在Ipad 上通过云IDE来码题。 一开始用的腾讯云的 C…

部署Prometheus、Grafana、Zipkin、Kiali监控度量Istio

1. 模块简介 Prometheus 是一个开源的监控系统和时间序列数据库。Istio 使用 Prometheus 来记录指标,跟踪 Istio 和网格中的应用程序的健康状况。Grafana 是一个用于分析和监控的开放平台。Grafana 可以连接到各种数据源,并使用图形、表格、热图等将数据…

深入理解Redis的四种模式

Redis是一个内存数据存储系统,支持多种不同的部署模式。以下是Redis的四种主要部署模式。 1、单机模式 单机模式是最简单的部署模式,Redis将数据存储在单个节点上。这个节点包括一个Redis进程和一个持久化存储。单机模式非常适合小型应用程序或者开发和…

uln2003驱动28BYJ-48步进电机

欢迎入群共同学习交流 时间记录:2024/11/2 一、模块解析 1.uln2003 E脚:接GND COM脚:接VCC外部电源 1-7B:输入引脚 1-7C:输出引脚,输入与输出反向 无法输出高电平,外围电路需要接上拉电路…

使用 PyCharm 构建 FastAPI 项目:零基础入门 Web API 开发

使用 PyCharm 构建 FastAPI 项目:零基础入门 Web API 开发 本文提供了一份完整的 FastAPI 入门指南,涵盖从环境搭建、依赖安装到创建并运行一个简单的 FastAPI 应用的各个步骤。通过 FastAPI 和 Uvicorn,开发者可以快速构建现代化的 Web API…

SAP ABAP开发学习——BAPI

目录 业务对象 概念 ​编辑业务对象浏览 BAPI BAPI的浏览 BAPI的调用 BAPI的确认和返回 BAPI的创建 MM/SD常用BAPI 附加:长文本修改 业务对象 概念 业务对象浏览 进入SWO3查看 双击BUS2012 双击下图上方红色位置可以看到BAPI方法的内容 BAPI BAPI(Busines…

《高频电子线路》 —— 电感三端LC振荡器

文章内容来源于【中国大学MOOC 华中科技大学通信(高频)电子线路精品公开课】,此篇文章仅作为笔记分享。 电感三端LC振荡器 基本原理(哈特莱电路) 在高频下直流电阻对交流电相阻抗无穷大,相当于开路。谐振回…

它真能替代Express?tinyhttp用速度和轻量征服开发者

它真能替代Express?tinyhttp用速度和轻量征服开发者 如果你是个 Express 粉丝,又经常为它的历史遗留问题头疼,那么有个好消息要告诉你:tinyhttp 来啦!这款专注于轻量、快速的 Web 框架正在以一种更现代的方式挑战 Expr…

【时间之外】IT人求职和创业应知【25】

目录 新闻一:AI流量变现财富峰会在深圳举办 新闻二:江苏省加快释放数据要素价值,推动数据产业发展 新闻三:全国大中城市巡回招聘温州站(民营企业专场)举办 认知决定你的赚钱能力。以下是今天可能影响你求…

qt QGroupBox详解

1、概述 QGroupBox是Qt框架中的一个容器控件,主要用于组织和管理一组相关的控件(如按钮、复选框、文本框等),并为这些控件提供一个框架和标题。通过使用QGroupBox,可以创建具有逻辑分组和视觉层次结构的用户界面&…

从 vue 源码看问题 — vue 初始化都做了什么事?

前言 最近想要对 Vue2 源码进行学习,主要目的就是为了后面在学习 Vue3 源码时,可以有一个更好的对比和理解,所以这个系列暂时不会涉及到 Vue3 的内容,但是 Vue3 的核心模块和 Vue2 是一致的,只是在实现上改变了方式、…