526互联

HCIP-进阶实验08-接入安全配置

发布时间 2023-07-17 13:01:30作者: Qurare

HCIP-进阶实验08-接入安全配置

1 实验需求

1.1 实验拓扑

image-20230717105054715

1.2 实验需求

本实验共采用2台三层交换机、1台路由器和4台PC。认真分析实验需求,明确每步考查的知识点,根据拓扑搭建实验环境,确保端口都双UP后再进行下面步骤:

  1. PC1和PC2位于办公网段VLAN10,PC3和PC4位于学生网段VLAN20
  2. 对于学生网段,要求使用端口隔离技术,防止学生之间PC3和PC4的相互访问
  3. 对于办公网段,要求员工使用公司的电脑进行上网,交换机配置MAC地址表安全功能,静态绑定PC1的MAC地址(需配置接口不学习MAC地址),对于PC2相连的接口设置MAC地址学习数量为1,当超过最大学习数量时,丢弃该接口发送的报文(ensp只支持告警)
  4. 对于学生网段,由于每天上课学生的不同,交换机配置端口安全技术,配置合理的安全MAC地址类型,限制接口地址学习数量为1,当超过最大学习数量时,将接口关闭
  5. 对于办公网段和学生网段均采用DHCP自动获取的方式,通过路由器进行获取IP地址(SW1为三层交换机)
  6. 配置DHCP Snooping技术,防范非法DHCP服务器的攻击
  7. 配置IPSG防止学生网段PC3私自修改IP地址
  8. 配置DAI防范学生网段PC4收到中间人攻击

1.3 地址规划

设备 接口 地址 备注
AR1 g0/0/1 192.168.100.254/24 DHCP-Server
LSW1 g0/0/1 access vlan100
g0/0/5 trunk
vlanif 10 192.168.10.254/24 vlan10网关
vlanif 20 192.168.20.254/24 vlan20网关
vlanif 100 192.168.100.1/24 管理网段
LSW2 g0/0/1 access vlan10
g0/0/2 access vlan10
g0/0/3 access vlan20
g0/0/4 access vlan20
g0/0/5 trunk
PC1 e0/0/1 DHCP自动获取 Office vlan10
PC2 e0/0/1 DHCP自动获取 Office vlan10
PC3 e0/0/1 DHCP自动获取 Student vlan20
PC4 e0/0/1 DHCP自动获取 Student vlan20

2 实验步骤

2.1 VLAN划分+DHCP

AR1

sy
sys AR1
#全局启用DHCP
dhcp enable
#配置地址池
ip pool office
	network 192.168.10.0 mask 24
	gateway-list 192.168.10.254 
	dns-list 8.8.8.8
	qu
ip pool student
	network 192.168.20.0 mask 24
	gateway-list 192.168.20.254 
	dns-list 8.8.8.8
	qu
int g0/0/1
	ip add 192.168.100.254 24
	dhcp select global
	qu
#配置回vlan10和vlan20的路由
ip route-static 192.168.10.0 24 192.168.100.1
ip route-static 192.168.20.0 24 192.168.100.1

LSW1(DHCP-relay)

sy
sys LSW1
#全局启用DHCP
dhcp enable
vlan batch 10 20 30 40 100
int vlan 10
	ip add 192.168.10.254 24
	dhcp select relay	#启用DHCP中继
	dhcp relay server-ip 192.168.100.254	#指定DHCP服务器的地址
	qu
int vlan 20
	ip add 192.168.20.254 24
	dhcp select relay
	dhcp relay server-ip 192.168.100.254
	qu
int vlan 100
	ip add 192.168.100.1 24
	qu
int g0/0/1
	port link-type access
	port default vlan 100
	qu
int g0/0/5
	port link-type trunk
	port trunk allow-pass vlan 10 20 100
	qu

LSW2

sy
sys LSW2
vlan batch 10 20 30 40 100
int  g0/0/1
	port link-type access
	port default vlan 10
	qu
int  g0/0/2
	port link-type access
	port default vlan 10
	qu
int g0/0/3
	port link-type access
	port default vlan 20
	qu
int g0/0/4
	port link-type access
	port default vlan 20
	qu
int g0/0/5
	port link-type trunk
	port trunk allow-pass vlan 10 20 100
	qu

2.2 端口隔离

LSW2

port-isolate mode all
int g0/0/3
	port-isolate enable group 2
int g0/0/4
	port-isolate enable group 2
qu

配置前

image-20230717120303692

配置后

image-20230717120359888

2.3 mac安全

注意, 这里我的PC2是左边的那台, 通过g0/0/1连接

LSW2

mac-address static 5489-9821-10ea g0/0/2 vlan 10
int g0/0/2
	mac-add learning disable action discard 
qu

int g0/0/1
	mac-limit maximum 1
qu

PC1

image-20230717120800773

查看mac地址表限制

display mac-limit

image-20230717121308982

2.4 端口安全

LSW2

int g0/0/3
	port-security enable
	port-security max-mac-num 1
	port-security protect-action shutdown
	qu
int g0/0/4
	port-security enable
	port-security max-mac-num 1
	port-security protect-action shutdown
qu

重启PC3和PC4, 并查看LSW2的mac地址表

display mac-address

image-20230717121627859

2.5 DHCP Snooping

LSW2

dhcp snooping enable ipv4
int g0/0/1
	dhcp snooping enable
	qu
int g0/0/2
	dhcp snooping enable
	qu
int g0/0/3
	dhcp snooping enable
	qu
int g0/0/4
	dhcp snooping enable
	qu
int g0/0/5
	dhcp snooping enable
	dhcp snooping trusted
	qu

未开启dhcp Snooping的接口不会接收Discover报文, 自然不会像上游转发

image-20230717124847590

2.6 IPSG

LSW2

user-bind static ip-address 192.168.20.253 mac-address 5489-9879-26B4 #地址绑定
int g0/0/3
	ip source check user-bind enable	#使能IPSG
	ip source check user-bind alarm enable	#使能告警功能
	ip source check user-bind alarm threshold 100	#设置告警阈值为100
	qu

2.7 DAI

user-bind static ip-address 192.168.20.252 mac-address 5489-9858-5676
int g0/0/4 
	arp anti-attack check user-bind enable
	qu

(思考:接口安全和DAI都可以限制MAC地址学习,哪项会生效)