思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)

网络拓扑包括：按照图示连接机器。在这次实验中，具体端口的情况用图中的数字表示。 核心开关(core )设定为s1或SW1，同步级别开关(access )设定为s2或SW2。分配IP地址：路由器： e0: 192.168.1.1酷睿： F0/1: 192.168.1.2Svi接口：酷睿VLAN 10:16.10.254Vlan20: 172.16.20.254Vlan30: 172.16.30.254Access vlan10: 172.16.10.253Vlan20: 172.16.20.253Vlan30: 172.16.30.253服务器IP地址： 192.168.30.1Office区段地址：PC1:192.168.10.1PC2:192.168.10.2路由器空配置命令：enerase startup-config罗德公司开关空设定命令：enerase startup-configdelete vlan.dat罗德公司加速指令：enconf tno IP域名lookupline con 0exec-timeout 0 0logging synhostname另一方面，OFFICE区域地址被静态分配，防止OFFICE网络的ARP攻击，不允许OFFICE网段的PC互访的STUDENTS区域主机输入正确的学号和密码连接到网络，自动取得地址1 .基本配置SW1配置：SW1(config ) # vtp域Cisco/SW 1配置VTP、模式服务器、SW2模式客户端SW1(config ) # VTP密码伺服器sw1 (config ) VTP模式服务器SW1(config)#vlan 10SW1(config)#int range f0/3，f0/4 /链路捆绑包SW1(config-if-range )通道协议页面SW1(config-if-range ) channel-group 10模式开启SW1(config ) # intport-channel 10/链路设置为中继模式，封装802.1q协议，缺省情况下，不封装三层交换机sw1 (config-if ) switchporttrunencapsulationdot1qsw1 (config-if ) switchportmodetrunkSW2设定：SW2(配置) VTP域CiscoSW2(config ) # VTP密码伺服器SW2(config ) VTP模式客户端SW2(config)#int range f0/3，f0/4SW2(config-if-range )通道协议页面SW2(config-if-range ) channel-group 10模式开启creating aport-channelinterfaceport-channel 10建立连接埠sw2 (config ) int端口通道10sw2 (config-if ) switchporttrunencapsulationdot1qsw2 (config-if ) switchportmodetrunkSW2(config ) #在intf0/1/VLAN 10中插入f0/1、f0/2sw2 (config-if ) switchportmodeaccesssw2 (config-if ) switchportaccessvlan 10SW2(config-if)#int f0/2sw2 (config-if ) switchportmodeaccesssw2 (config-if ) switchportaccessvlan 102、vlan aclOffice地区禁止PC相互访问使用show int e0/0命令显示mac地址SW2(config ) # MAC存取- listextendedmacaclSW2(config-ext-macl ) #禁止专用主机0007.8562.9 de 0主机0007.8562.9 c 20/双向通信config-ext-macl (配置退出邮件)专家主机0007.8562.9 c 20主机0007.8562.9 de 0sw2 (config ) #禁止VLAN access-map vmap 10/PC之间的通信sw2 (config-access-map ) matchmacaddmacaclconfig-access-map (配置访问映射) action dropsw2 (config ) # VLAN access-map vmap 20/如果不发布其他数据，pc将无法ping到svi端口或网关config-access-map (配置访问图) actionforwardSW2(config ) # vlanfiltervmapvlan-list 10如果不使用VLAN ACL，pc1可以ping pc2。 请参见下图使用VLAN ACL时，pc1无法ping pc2，如下图所示Office区域静态配置ip地址时采用的ARP保护：配置包括sw2 (config ) iparpinspectionvlan 10sw2 (config ) ARP access -列表应用程序sw2 (config-ARP-NaCl ) permitipost 192.168.10.1 machost 0007.8562.9 de0/IP地址和mac地址的对应表sw2 (config-ARP-NaCl ) permitipost 192.168.10.2 machost 0007.8562.9 c 20sw2 (config-ARP-NaCl ) iparpinspectionfilterarplistvlan 10sw2 (config ) int端口通道10sw2 (config-if ) iparpinspectiontrust注：要配置静态arp保护(不是从DHCP获取用户主机的静态配置地址的地址)，必须创建新的ip和mac映射表。 否则，pc1将无法ping到svi端口4、OSPF和DHCP所有网络都启动OSPF协议，以便pc1能够ping路由器。 其实，在全网上没有启动OSPF协议，PC也能够ping路由器。 这里发生了ARP代理。 OSPF是为了分配DHCP地址。sw1 (config ) #打开IP route/路由功能SW1(config)#int f0/1SW1(config-if)#no switchport /将双层接口转换为三层接口SW1(配置- if ) # IP地址192.168.1.2255.255.0SW1(config-if ) #否shut downSW1(config-if)#int f0/2SW1(配置- if )无交换机端口SW1(配置- if ) # IP地址192.168.2.2255.255.0SW1(config-if ) #否shutSW1(config )路由器fos 1SW1(配置路由器) # netSW1(配置路由器)网络192.168.1.0.0.255 a 0sw1 (配置路由器) net 192.168.10.2540.0.0.0a 0r (config )路由器OSPF 1r (配置路由器) net 192.168.1.0.0.255 a 0DHCP配置：Router(config)#ip dhcp 1DHCP-config (路由器)网络192.168.10.0255.255.255.0DHCP-config (路由器)返回默认路由器192.168.10.254/地址。 在此环境中指向vlan 20的svi接口地址。router (DHCP-config ) DNS-server8.8. 8DHCP-config (路由器)退出router (config ) # ipdhcpexcluded-address 192.168.10.1/删除某些地址router (配置) IP route0.0.0.0.0e 0其次，将DHCP代理配置在sw1中，代理的下一跳地址是DHCP输入接口，进入vlan 20配置svi接口，地址为192.168.20.254注意： router (config ) # IP route0.0.0.0.0e0/如果您不想写它，则必须关闭路由功能。 关闭后，pc将无法获取ip地址，关闭路由功能的命令为noiproute然后在pc上进入接口，并将DHCP配置为获取地址。 命令包括：int f0/1IP地址DHCP查看结果：5、Student区域ARP保护：SW2的配置如下启用ipdhcpsnooping/dhcp侦听ip dhcp snooping vlan 20int range f0/1，f0/2限制ipdhcpsnoopinglimitrate5/dhcp请求数据包的数量。 此处为5IP验证源端口安全性exitint端口通道10ip dhcp snooping trust /设置受信任的端口如果更改pc1的mac地址，则可知道端口down的状态，更改mac地址的命令如下所示pc1(config)#int e0/0PC1(配置- if ) MAC -地址0007.8562.9 de 36、AAA认证：服务器地址为192.168.30.1S1 (config-VLAN ) #创建int VLAN 30/VLAN 30的原因：在sw1、sw2中配置svi端口，服务器地址为192.168.30.1，位于同一网络段。 这将向服务器发送pc发出的认证包S1 (配置文件) # IP地址192.168.30.254255.255.255.0s1(config)#int f0/5S1 (配置- if ) switchportmodeaccessS1 (config-if ) switchportaccessvlan 30s2(config)#int vlan 30S2 (配置文件) # IP地址192.168.30.253.255.255.0S2 (config-if ) #退出s2(config)#aaa new-model /AAA结构位于接入层交换机中，因此核心交换机sw1无需在与服务器连接的接口上配置IP地址s2(config)#aaa认证日志invtylogingroupradiusS2 (配置) radius-server host 192.168.30.1自动端口1812 acctS2 (config ) # $ er host 192.168.30.1自动端口1812 acct -端口1813密钥Cisco/Cisco是密钥s2(config)#line vty 0 4 /用户认证时使用虚拟链接S2 (config-line ) # loginauthenticationvtyloginS2 (config-line ) #退出S2 (config ) # dot 1x系统自动控制S2 (config ) #进入int F0/1/端口，将端口设定为认证模式后，仅打开认证成功的端口S2 (config-if )身份验证端口-控制自动S2 (config-if ) dotxpaehuthenticatio