安全HCIP之三层架构综合实战

最新推荐文章于 2024-05-01 07:03:11 发布
最新推荐文章于 2024-05-01 07:03:11 发布
阅读量309 收藏 1
点赞数 1
分类专栏: 安全HCIP 文章标签: 网络 交换机 路由器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XiaoHG_CSDN/article/details/108914170
版权

三层架构综合实战

注意:基本的IP地址配置省略了;
说明:vlan 999作为管理vlan使用,使得所有设备都可以telnet进行远程管理;

在这里插入图片描述

接入交换机:SW4
  • 内容:接口划分vlan和trunk,trunk运行vlan 10和vlan 999;
  • 接口划分划分vlan和trunk:
    • e0/0/1口划到vlan 10;

    • interface Ethernet0/0/1
      port link-type access
      port default vlan 10

    • e0/0/2口置为trunk口,允许vlan 10和vlan 999通过;

      interface Ethernet0/0/2
      port link-type trunk
      undo port trunk allow-pass vlan 1
      port trunk allow-pass vlan 10 999

    • 给管理vlan设置一个地址:

    • vlanif999:192.168.253.4/24

接入交换机:SW5
  • 同SW4,只是vlan改为20
  • 管理vlan地址:

  • vlanif999:192.168.253.5/24

汇聚交换机:SW2
  • 内容:创建vlan和接口trunk运行的vlan配置;
  • 创建vlan:10、20、999,这步不要忘记了:

  • vlan batch 10 20 999

  • 配置trunk:
    • g0/0/1,trunk允许vlan 10和vlan 999:

      • interface GigabitEthernet0/0/1
        port link-type trunk
        undo port trunk allow-pass vlan 1
        port trunk allow-pass vlan 10 999

    • g0/0/2,trunk允许vlan 20和vlan 999:

      • interface GigabitEthernet0/0/2
        port link-type trunk
        port trunk allow-pass vlan 20 999

    • 上两口g0/0/3和g0/0/4做链路捆绑Eth-trunk 0,使得带宽能带的2000Mbps,并打trunk,允许vlan 10 20 999:

      • 链路捆绑:

        interface GigabitEthernet0/0/3
        eth-trunk 0
        interface GigabitEthernet0/0/4
        eth-trunk 0

      • 打trunk:

        interface Eth-Trunk0
        port link-type trunk
        port trunk allow-pass vlan 10 20 999

  • 给管理vlan设置地址:

  • vlanif999:192.168.253.2/24

汇聚交换机:SW3
  • Eth-trunk和trunk同SW2,只是vlan不一,g0/0/1为sccess口设置vlan 200即可;
核心交换机:SW1
  • 内容:核心交换机需要的配置相对多一些,包括了网关、DHCP、Eth-trunk、一个对外接口vlan800等;
  • Eth-trunk和打trunk参照SW2;
  • 配置网关:vlan 10 20 200的网关以及DHCP:

    • ip pool dhcp_vlan10
      gateway-list 192.168.10.1
      network 192.168.10.0 mask 255.255.255.0
      dns-list 114.114.114.114 8.8.8.8

      ip pool dhcp_vlan20
      gateway-list 192.168.20.1
      network 192.168.20.0 mask 255.255.255.0
      dns-list 114.114.114.114

    • interface Vlanif10
      ip address 192.168.10.1 255.255.255.0
      dhcp select global

      interface Vlanif20
      ip address 192.168.20.1 255.255.255.0
      dhcp select global

      interface Vlanif200
      ip address 192.168.200.1 255.255.255.0

到这里我们完成了内网用户都能够自动获取地址了,并且都可以访问到网关,完成了1-4的需求

需求5:确保sw1是根桥,配置相关技术使得接入交换机连接终端接口收敛迅速

  • 核心接交换SW1:

    • [SW1]stp priority 0

    • dis stp 可以观察到SW1已经为根桥了
      在这里插入图片描述
  • 终端收敛迅速(针对有终端连接的交换机):
  • 所有接终端PC接口执行命令:

    • stp edged-port enable

至此所有接入交换机终端接口收敛迅速,我们完成了需求5

需求6:出口配置NAT(ISP-R4),并确保所有用户都可以访问百度

  • 做出口NAT转换;

  • [R1]acl 2000
    [R1-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
    [R1-acl-basic-2000]q
    [R1]int g0/0/2
    [R1-GigabitEthernet0/0/2]nat outbound 2000

至此内网所有用户都可以正常访问外网了,我们完成了需求6

需求7:企业总部和分支采用ppp广域网链路连接,并采用CHAP对链路做认证

注意:认证端和被认证端可以互换;

  • R1上(认证端):

    • [R1]aaa
      [R1-aaa]local-user chap_auth_user password cipher 123456
      Info: Add a new user.
      [R1-aaa]local-user chap_auth_user service-type ppp

      [R1]int s4/0/0
      [R1-Serial4/0/0]ppp authentication-mode chap

      interface Serial4/0/0
      link-protocol ppp
      ppp authentication-mode chap
      ip address 192.168.252.1 255.255.255.0

  • R3上(被认证端):

    • [R3]int s4/0/0
      [R3-Serial4/0/0]ppp chap user chap_auth_user
      [R3-Serial4/0/0]ppp chap password cipher 123456

      interface Serial4/0/0
      link-protocol ppp
      ppp chap user chap_auth_user
      ppp chap password cipher % % |K4vG_9Cg=a’T"4"Qhn=,8AX% %
      ip address 192.168.252.3 255.255.255.0

至此我们完成了需求7

需求8:企业总部和分支采用ospf路由协议连接

  • 核心交换机SW1:

    • ospf 1
      area 0.0.0.0
      network 192.168.10.0 0.0.0.255
      network 192.168.20.0 0.0.0.255
      network 192.168.200.0 0.0.0.255
      network 192.168.254.0 0.0.0.255
      network 192.168.253.0 0.0.0.255

  • R1:

    • ospf 1
      area 0.0.0.0
      network 192.168.252.0 0.0.0.255
      network 192.168.254.0 0.0.0.255

  • R3:

    • ospf 1
      area 0.0.0.0
      network 192.168.100.0 0.0.0.255
      network 192.168.252.0 0.0.0.255

至此总部和分支已经可以正常通信了,我们完成了需求8

需求9:企业所有设备,在任何位置都可以配telnet远程管理

  • 首先所有交换机上:

    • vlan 999
      int vlan 999
      ip address x.x.x.x

      所有接入和汇聚交换机:
      ip route-static 0.0.0.0 0 192.168.253.1 //给管理流量回包

  • 然后所有路由器和交换机(可直接复制到所有设备上即可):
    aaa
    local-user telnet_test_user privilege level 3 password cipher 123456
    local-user telnet_test_user service-type telnet
    user-interface vty 0 4
    authentication-mode aaa

至此我们完成最后一个需求,总架构已经完成

XiaoHG_CSDN
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
三层架构实验
是江涛呀的博客
07-23 3021
实验拓扑和地址规划如下图所示 一、创建通道将两条主线绑定起到增加带宽的作用(分别sw1和sw2上) [sw1]int g0/0/3 [sw1-GigabitEthernet0/0/3]eth-trunk 0 [sw1-GigabitEthernet0/0/3]int g0/0/2 [sw1-GigabitEthernet0/0/2]eth-trunk 0 [sw2-GigabitEthernet0/0/2]eth-trunk 0. [sw2-GigabitEthernet0/0/2]int g0/0/1.
架构-三层架构三层架构
weixin_30273763的博客
09-07 785
ylbtech-架构-三层架构三层架构 三层架构(3-tier architecture) 通常意义上的三层架构就是将整个业务应用划分为:界面层(User Interface layer)、业务逻辑层(Business Logic Layer)、数据访问层(Data access layer)。区分层次的目的即为了“高内聚低耦合”的思想。在软件体系架构设计中,...
AK-EGAS-v6 三层安全架构 最新标准
05-17
E-gas三层安全架构 最新标准 v6,可作为ISO26262的软件或硬件开发详细标准
基于功能安全的车载计算平台开发:软件层面
qq_41854911的博客
11-30 902
已剪辑自: https://mp.weixin.qq.com/s/SIBvH8u–vCk6W28KrPBmA车载智能计算平台作为智能汽车的安全关键系统,软件层面的安全性至关重要。由于车载智能计算平台功能丰富,应用场景复杂,对软件的实时性、安全性、可靠性要求极高,应通过技术和流程两个方面保障软件的功能安全。技术上确保软件层级的每个功能安全相关软件节点都有相应的故障监测和处理机制,流程上按照软件安全生命周期模型规范软件开发过程。基于参考阶段模型,为软件层面产品开发进行生命周期的剪裁。**车载智能计算平台软件安全
2024年最全基于功能安全的车载计算平台开发:软件层面_e-gas架构
最新发布
2401_84297035的博客
05-01 1157
(1)Level1:**功能层,包括扭矩的解析、功能的诊断等,最直接的理解就是能够实现设计基本功能的软件及相关硬件资源的组合。**(2)Level2:**功能监控层,负责监控功能层的输出结论,简单理解来看,就是软件的冗余校验,但是,由于不想消耗太多资源及避免算法共因,所以基于功能结果的监控。**(3)Level3:**硬件监控层,负责确保Level1和Level2的运行的硬件环境是正常工作的,异常的运行环境会导致Level2的设计起不到很好效果,因此,Level3在整体的监控架构中作用是不可替代的。
功能安全架构设计-VCU.pdf
12-29
VCU整车控制器的功能安全设计架构,从软件和硬件层面来说明整车控制器的功能安全的整体设计思路,非常适合功能安全的设计师
HCIP企业网三层架构实验
08-21
三层架构实验
HCIA HCIP安全入门 学习笔记
06-26
该课程涵盖了安全基础知识、安全协议、安全设备、安全架构等方面的内容。 二、命令行简介 命令行是常用的远程登录方式,通过命令行可以对设备进行配置和管理。HCIA HCIP 安全入门学习笔记中介绍了命令行的基本概念...
华为HCIP安全视频.zip
06-16
HCNP安全第三天上午1.wmv HCNP安全第三天上午2.wmv HCNP安全第三天下午.mp4 HCNP安全第四天上午.wmv HCNP安全第四天下午.wmv Thumbs.db D5 HCNP安全第五天.wmv D6、D7 HCNP安全第七天上午.wmv HCNP安全第六天上午....
HCIP-Security 网络安全 上课笔记
06-26
HCIP-Security 网络安全 上课笔记 本文档主要讲解HCIP-Security网络安全上课笔记,涵盖了Eth-trunk的配置、LACP模式、链路健康检查等网络安全知识点。 1. Eth-trunk配置 Eth-trunk是将多个物理接口捆绑成一个逻辑...
HCIP安全认证题库啊
10-23
包含题目的详细解析
单臂路由配置实验同一交换机上vlan间ping不通_通过 VLAN 接口实现 VLAN 间的互访案例...
weixin_39996762的博客
12-06 499
这是一种通过计算机网络体系结构中第三层(网络层)来实现VLAN间通信的解决方案。每个VLAN都可以配置一个三层VLANIF逻辑接口,而这些VLANIF接口就作为对应VLAN内部用户主机的缺省网关,通过三层交换机内部的IP路由功能可以实现同一交换机上不同VLAN的三层互通,不同交换机上不同VLAN间的三层互通需要配置各VLANIF接口所在网段间的路由。实验拓扑及描述实验需求 PC1属于VLAN10,...
网络单向通信
sinat_33822516的博客
05-13 5251
目前很多软件都是基于一个C/S或B/S架构的,像公司的产品就是杀毒产品,在每个pc上都要安装客户端,然后有一个统一的Server端,用来下发策略以及查看各个终端的事件。 但是在企业级用户中,会经常发现,企业更喜欢是将所有的PC终端都放在内网中,而Server放在可以连接外网的网络中,而且只有Agent可以访问Server,Server不能主动连接Agent。这就需要一个单向通信的原理了。之前本人...
服务器自动删路由,云服务器Windows下添加、删除和修改静态路由
weixin_31004409的博客
07-31 591
云服务器Windows下添加、删除和修改静态路由1、查看路由表信息route print2、添加一条路由表route add 192.168.100.0 mask 255.255.255.0 172.17.1.1 metric 3 if 2添加一条静态路由记录,所有到192.168.100.0/24网段的数据包,都通过2号(网卡)接口走172.17.1.1的网关,优先级为3。斜体部分可根据自已的实...
三层架构的搭建
weixin_60719780的博客
08-10 1564
在三层交换机路由器之间的干道我们创建为access模式,同时创建vlan100,然后配置IP地址,为了解决备份问题,我们采用vrrp技术,该技术的目的是当有一条线路发生断开或者不能正常工作时候,该设备的接受以及发送数据也可以正常工作,首先从底层出发,配置二层交换机的干道类型、与终端相连的为access模式,交换机相连的为trunk模式,在三层设备配置IP地址(这里使用vlan管理进行IP地址的配置),在路由器和三层交换机上我们采用ospf协议,目的是全网可达,然后进行终端DHCP的自动获取IP的配置,..
IP地址与子网掩码
m0_49626558的博客
09-25 1875
IP地址与子网掩码 1、IP地址 1)IP地址形式 四个十进制数用 . 分隔,计算机使用时会将每个十进制数转换成8bit的二进制数,所以IP地址使用二进制表示为32bit。 2)IP地址的组成 网络地址(网络位):子网的地址编号(一个网络地址代表一个子网) 主机地址(主机位):计算机在子网中的地址编号(具体可以给计算机配置的IP地址) 3)IP地址的分类 A类:网络地址的范围:1-126 结构:网.主.主.主 B类:网络地址的范围:128-191 结构:网.网.主.主 C类:网络地址的范围:192-
通过DHCP动态管理IP地址
CSDN
11-12 8555
当一个DHCP客户机启动时,会自动将自己的IP地址配置成0.0.0.0,由于使用0.0.0.0不能进行正常通信,所以客户机就必须通过DHCP服务器来获取一个合法的地址.由于客户机不知道DHCP服务器的IP地址,所以它使用0.0.0.0的地址作为源地址,使用UDP68端口作为源端口,使用255.255.255.255作为目标地址,使用UDP67端口作为目的端口来广播请求IP地址信息.广播信息中包含了DHCP客户机的MAC地址和计算机名,以便使DHCP服务器能确定是哪个客户机发送的请求.
ak-egas-v6 三层安全架构_ASP.NET Core Web架构分层指南
weixin_35890512的博客
12-29 770
(给DotNet加星标,提升.Net技能)转自:花阴偷移cnblogs.com/MrHSR/p/11272400.html一、概述本章Web架构分层指南,参考了"Microsoft应用程序体系结构指南"(该书是在2009年出版的,当时出版是为了帮助开发人员和架构师更快速,更低风险地使用Microsoft平台和.NET Framework设计和构建有效,高质量的应用程序)。虽然已过去十年了...
交换综合三层架构实验
babybattlezxj的博客
07-22 289
实验要求: ISP只能配置公有ip,不得再进行其他任何配置 2.所有PC通过dhcp获取ip地址 3、STP-MSTP合理分组VLAN --混用中继和混杂模式 4、内网ip地址172.16.0.0/16 合理分配 6、正常所有PC可以访问1SP环回,当随机在SW1和SW2中关闭台设备时,PC依然可以正常访问ISP 实验配置思考顺序 : [SW3]int Eth-Trunk 0 [SW3-GigabitEthernet0/0/2]eth-trunk 0 [SW3-GigabitEthernet0/0/.
hcip三层架构冗余
08-18
- *2* *3* [HCIP三层架构](https://blog.csdn.net/m0_51909023/article/details/116075639)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值