配置DHCP:
dhcp enable //打开DHCP功能
ip pool vlan10 //创建 IP 地址池取名为vlan10
network 10.0.10.0 mask 255.255.255.0 //配置地址池网段
gateway-list 10.0.10.1 //配置该地址池地址的网关地址
excluded-ip-address 10.0.10.2 10.0.10.3 //配置排除地址
dhcp select global //定义dhcp为全局模式
(2)MSTP+VRRP:
stp instance 1 root primary //指定本交换机为主根桥
stp instance 2 root secondary //指定本交换机为备份根桥
2)VRRP关键代码,其他网关配置同理:
interface Vlanif10
ip address 10.0.10.2 255.255.255.0
//创建VRRP备份组10,并配置VRRP备份组的虚拟IP地址10.0.10.1
vrrp vrid 10 virtual-ip 10.0.10.1
//设置交换机A在VRRP备份组10中的优先级为120,高于交换机B的优先级100
vrrp vrid 10 priority 120
(3)链路聚合
在两个核心交换机间设置链路聚合,关键代码如下:
interface eth-trunk 1 //创建ID为1的Eth-Trunk接口
mode lacp //配置链路聚合模式为LACP模式
interface g0/0/6
eth-trunk 1 //将接口加入Eth-Trunk 1
//设置接口链路类型为trunk
interface eth-trunk 1
port link-type trunk
3、网络出口实现
(1)部署NAT:
NAT关键代码如下:
//创建内网需要上网的源地址到外网的安全策略:
security-policy
rule name nat
source-zone trust
destination-zone untrust
action permit
//创建需要上网的源地址的安全NAT策略:
nat-policy
rule name nat
source-zone trust
destination-zone untrust
action source-nat easy-ip
4、路由协议实现
核心交换机通过双上行与出口设备相连,通过三层OSPF路由技术
//此配置 其他设备 均相同 宣告各自直连网段即可
[Core-A-ospf-1]area 0
[Core-A-ospf-1-area-0.0.0.0]network 10.0.0.0 0.255.255.255
5、双机热备功能实现
在FW上配置VGMP组监控上下行业务接口。
[FW_A] hrp track interface GigabitEthernet 1/0/0
[FW_A] hrp track interface GigabitEthernet 1/0/1
[FW_A] hrp adjust ospf-cost enable //根据VGMP状态调整OSPF Cost值功能
在FW上指定心跳口并启用双机热备功能。
[FW_A] hrp interface GigabitEthernet 0/0/6 remote 10.10.10.1
[FW_A] hrp enable
[FW_B] hrp standby-device
[FW_B] hrp enable
6、内网安全配置
访问控制,拒绝访问财务部
[SW-A]acl 3000
[SW-A-acl-adv-3000]description deny_cw
[SW-A-acl-adv-3000]rule deny ip source 10.0.0.0 0.0.255.255 destination 10.0.10.0 0.0.0.255 //拒绝其他网络访问财务
[SW-A]traffic-filter inbound acl 3000 //全局调用
DHCP的安全控制 ,配置上行接口为信任dhcp报文,即只能从上行接口收到DHCP应答报文才是正常行为。
interface Ethernet0/0/1
dhcp snooping enable
dhcp snooping trusted
return
[SW1-Ethernet0/0/1]int e0/0/2
[SW1-Ethernet0/0/2] dhcp snooping enable
[SW1-Ethernet0/0/2] dhcp snooping trusted
开启财务部门的接入安全配置:
[SW1-Ethernet0/0/3]port-security enable //开启接口安全
[SW1-Ethernet0/0/3]port-security protect-action shutdown //触发安全保护 动作为 关闭端口
[SW1-Ethernet0/0/3]port-security max-mac-num 1 //一个端口最大允许一个用户接入
防火墙出口安全配置
配置DDOS攻击检查
配置安全策略 绑定反病毒、APT等安全配置
四、测试
1.DHCP测试
各部门均正常获取地址
2、VRRP测试
VRRP 状态正常工作
3.路由及用户互联网访问测试
4、防火墙双机热备测试
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
GB-1715651545299)]
[外链图片转存中…(img-GblHWBXh-1715651545299)]
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!