任务2
文章目录
- 任务2
- 1.SW和AC开启telnet登录功能,telnet登录账户仅包含“ABC4321”,密码为明文“ABC4321”,采用telnet方式登录设备时需要输入enable密码,密码设置为明文“12345”
- 2.北京总公司和南京分公司租用了运营商两条裸光纤,实现内部办公互通。一条裸光纤承载公司财务部门业务,一条裸光纤承载其他内部业务。使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离,财务业务位于VPN 实例名称CW 内,总公司财务和分公司财务能够通信,财务部门总公司和分公司之间采用RIP路由实现互相访问。
- 3.尽可能加大总公司核心和出口BC之间的带宽。
- 4.为防止终端产生MAC地址泛洪攻击,请配置端口安全,已划分VLAN41的端口最多学习到5个MAC 地址,发生违规阻止后续违规流量通过,不影响已有流量并产生LOG 日志;连接PC1 的接口为专用接口,限定只允许PC1的MAC 地址可以连接。
- 5.在总部核心交换机端口ethernet1/0/6上,将属于网段20.1.41.0内的报文带宽限制为10M比特/秒,突发值设为4M字节,超过带宽的该网段内的报文一律丢弃。
- 6.在SW上配置办公用户在上班时间(周一到周五9:00-17:00)禁止访问外网,内部网络正常访问。
- 7.总公司SW交换机模拟因特网交换机,通过某种技术实现本地路由和因特网路由进行隔离,因特网路由实例名internet
- 8.对SW上VLAN50开启以下安全机制。业务内部终端相互二层隔离;14口启用环路检测,环路检测的时间间隔为10s,发现环路以后关闭该端口,恢复时间为30分钟,如私设DHCP服务器关闭该端口,同时开启防止ARP网关欺骗攻击。
- 9.配置使北京公司内网用户通过总公司出口BC访问因特网,分公司内网用户通过分公司出口FW访问因特网,要求总公司核心交换机9口VLAN41业务的用户访问因特网的流量往反数据流经过防火墙在通过BC访问因特网;防火墙untrust1和trust1开启安全防护,参数采用默认参数。要求有测试结果
- 10.为了防止DOS攻击的发生,在总部交换机vlan50接口下对MAC、ARP、ND表项数量进行限制,具体要求为:最大可以学习20个动态MAC地址、20个动态ARP地址、50个NEIGHBOR表项
1.SW和AC开启telnet登录功能,telnet登录账户仅包含“ABC4321”,密码为明文“ABC4321”,采用telnet方式登录设备时需要输入enable密码,密码设置为明文“12345”
解析:
username ABC4321 privilege 14 password ABC4321
- 只读访问(Read-Only Access): 只能查看数据和状态报告,不能进行任何修改。
- 基本用户权限(Basic User Access): 允许用户使用差分修正服务,但不能配置或修改设置。
- 数据下载权限(Data Download Access): 允许用户下载修正数据以供离线使用。
- 实时数据访问(Real-Time Data Access): 允许用户实时访问和使用修正数据。
- 系统状态监控(System Status Monitoring): 允许用户查看系统状态和健康报告。
- 用户管理权限(User Management Access): 允许用户添加、删除和管理其他用户的权限。
- 配置管理权限(Configuration Management Access): 允许用户修改系统配置和设置。
- 日志访问权限(Log Access): 允许用户访问和查看系统日志文件。
- 设备管理权限(Device Management Access): 允许用户管理和维护连接到系统的设备。
- 高级数据分析(Advanced Data Analysis): 允许用户进行高级数据分析和处理。
- 服务管理权限(Service Management Access): 允许用户启动、停止和配置服务。
- 系统更新权限(System Update Access): 允许用户进行系统和软件更新。
- 故障排除权限(Troubleshooting Access): 允许用户诊断和修复系统问题。
- 安全管理权限(Security Management Access): 允许用户管理系统安全设置和权限。
- 完全访问权限(Full Access): 最高权限,允许用户进行所有操作,包括系统的全部管理和控制。
enable password 0 12345
0 输入时的密码串为密码明文,输入时没有经过任何方式的加密
5 输入时的密码串为使用MD5方式加密后的字符串
7 输入时的密码串为使用Cisco的私有算法加密后的字符串
SW
SW>en
SW#config
#设置telnet账户和密码
SW(config)#username ABC4321 privilege 14 password ABC4321
#设置enable的密码
SW(config)#enable password 0 12345
验证:
说明:admin账号没有删除扣1分,ABC4321用户的privilege 值设置为15扣3分
SW#telnet 127.0.0.1
Connecting Host 127.0.0.1 Port 23...
Service port is 23
Connected to 127.0.0.1
login:ABC4321
Password:*******Jul 16 17:42:12:000 2024 SW MODULE_UTILS_TELNET/5/:Telnet: User ABC4321 login successfully from 127.0.0.1:32770.
SW>
SW>en
Password:
SW#show running-config | include username | password
no service password-encryption
enable password level 15 0 12345
username admin privilege 15 password 0 admin
username ABC4321 privilege 14 password 0 ABC4321
AC
AC>
AC>en
AC#config
AC(config)#username ABC4321 privilege 14 password ABC4321
AC(config)#enable password 0 12345
验证
说明:admin账号没有删除扣1分,ABC4321用户的privilege 值设置为15扣3分
AC#telnet 127.0.0.1
Connecting Host 127.0.0.1 Port 23...
Service port is 23
Connected to 127.0.0.1
login:ABC4321
Password:*******
AC>%Aug 05 09:43:06 2007 Telnet: User ABC4321 login successfully from 127.0.0.1:32771.
en
Password:
AC#show running-config | include username|password
no service password-encryption
enable password level 15 0 12345
username admin privilege 15 password 0 admin
username ABC4321 privilege 14 password 0 ABC4321
2.北京总公司和南京分公司租用了运营商两条裸光纤,实现内部办公互通。一条裸光纤承载公司财务部门业务,一条裸光纤承载其他内部业务。使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离,财务业务位于VPN 实例名称CW 内,总公司财务和分公司财务能够通信,财务部门总公司和分公司之间采用RIP路由实现互相访问。
SW
SW(config)#ip vrf CW
SW(config-vrf)#q
SW(config)#interface vlan 30
SW(config-if-vlan30)#ip vrf forwarding CW
Interface IP address removed due to enabling VRF CW
SW(config-if-vlan30)#ip add 20.1.0.5 255.255.255.252
SW(config-if-vlan30)#interface vlan 31
SW(config-if-vlan31)#ip vrf forwarding CW
Interface IP address removed due to enabling VRF CW
SW(config-if-vlan31)#ip add 20.1.3.1 255.255.255.128
#设置路由
SW(config)#router rip
SW(config-router)#version 2
SW(config-router)#address-family ipv4 vrf CW
SW(config-router-af)#network 20.1.0.5/30
SW(config-router-af)#network 20.1.3.1/25
AC
AC>
AC>en
Password:
AC#config
AC(config)#router rip
AC(config-router)#version 2
AC(config-router)#network 20.1.0.6/30
AC(config-router)#network 20.1.3.129/25
验证
AC
AC(config-router)#show ip route rip
R 20.1.3.0/25 [120/2] via 20.1.0.5, Vlan30, 00:00:38 tag:0
Total routes are : 1 item(s)
SW
SW(config)#show ip route vrf CW
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default
C 20.1.0.4/30 is directly connected, Vlan30 tag:0
C 20.1.3.0/25 is directly connected, Vlan31 tag:0
R 20.1.3.128/25 [120/2] via 20.1.0.6, Vlan30, 00:00:57 tag:0
Total routes are : 3 item(s)
3.尽可能加大总公司核心和出口BC之间的带宽。
SW
解析
- force10-full:表示端口配置为10 Mbps速率,并且是全双工(Full Duplex)模式。Full Duplex允许数据同时在两个方向上传输,提高了数据传输效率和带宽利用率。
- force10-half:表示端口配置为10 Mbps速率,并且是半双工(Half Duplex)模式。Half Duplex允许数据在同一时间只能在一个方向上传输,通常速率较低并且易受到碰撞的影响。
- force100-full:表示端口配置为100 Mbps速率,并且是全双工模式。与force10-full类似,但速率更高。
- force100-fx:表示端口配置为100 Mbps速率,并且使用了光纤(Fiber Optic)连接。FX通常用于描述光纤网络中的设备。
- force100-half:表示端口配置为100 Mbps速率,并且是半双工模式。
- force10g-full:表示端口配置为10 Gbps速率,并且是全双工模式。10 Gbps是高速网络中常见的速率,适用于需要大带宽的应用和数据中心环境。
- force1g-full:表示端口配置为1 Gbps速率,并且是全双工模式。1 Gbps速率通常用于现代企业网络和服务器连接,提供良好的性能和带宽支持。
- force1g-half:表示端口配置为1 Gbps速率,并且是半双工模式。
#单独设置会提示端口不支持高速全双工,所以要先将接口从接口组2中放出来再设置
SW(config)#no port-group 2
SW(config)#interface ethernet 1/0/18-19
#force1g-ful就是最快的带宽了
SW(config-if-port-range)#speed-duplex force1g-full
SW(config-if-port-range)#port-group 2 mode on
Port group 2 is not existing!
SW(config-if-port-range)#q
SW(config)#interface ethernet 1/0/18-19
SW(config-if-port-range)#port-group 2 mode on
验证
SW(config-if-port-range)#show running-config current-mode
!
Interface Ethernet1/0/18
speed-duplex force1g-full
switchport access vlan 25
port-group 2 mode on
!
Interface Ethernet1/0/19
speed-duplex force1g-full
switchport access vlan 25
port-group 2 mode on
!
SW(config-if-port-range)#
BC
加上这个策略才能ping通
4.为防止终端产生MAC地址泛洪攻击,请配置端口安全,已划分VLAN41的端口最多学习到5个MAC 地址,发生违规阻止后续违规流量通过,不影响已有流量并产生LOG 日志;连接PC1 的接口为专用接口,限定只允许PC1的MAC 地址可以连接。
SW
SW#config
#设置cpu学习模式否则1/0/7的mac地址会配不上
SW(config)#mac-address-learning cpu-control
SW(config)#interface ethernet 1/0/6-9
SW(config-if-port-range)#switchport port-security
SW(config-if-port-range)#switchport port-security maximum 5
SW(config-if-port-range)#switchport port-security violation restrict
SW(config-if-port-range)#interface ethernet 1/0/7
SW(config-if-ethernet1/0/7)#switchport port-security mac-address 02-13-23-3f-11-22
报错为
SW(config-if-ethernet1/0/7)#switchport port-security mac-address 02-13-23-3f-11-22
Mac learning is not in cpu-control mode, please enable it to make port-security work well!
验证
SW(config-if-ethernet1/0/7)#interface ethernet 1/0/6-9
SW(config-if-port-range)#show running-config current-mode
!
Interface Ethernet1/0/6
switchport access vlan 41
switchport port-security
switchport port-security maximum 5
switchport port-security violation restrict
!
Interface Ethernet1/0/7
switchport access vlan 41
switchport port-security
switchport port-security maximum 5
switchport port-security violation restrict
switchport port-security mac-address 02-13-23-3f-11-22
!
Interface Ethernet1/0/8
switchport access vlan 41
switchport port-security
switchport port-security maximum 5
switchport port-security violation restrict
!
Interface Ethernet1/0/9
switchport access vlan 41
switchport port-security
switchport port-security maximum 5
switchport port-security violation restrict
!
SW(config-if-port-range)#
5.在总部核心交换机端口ethernet1/0/6上,将属于网段20.1.41.0内的报文带宽限制为10M比特/秒,突发值设为4M字节,超过带宽的该网段内的报文一律丢弃。
SW#config
#创建标准IP访问列表这里用的是反掩码
SW(config)#ip access-list standard qos
SW(config-ip-std-nacl-qos)#permit 20.1.41.0 0.0.0.255
SW(config-ip-std-nacl-qos)#q
#创建类映射,用于特定流量分类
SW(config)#class-map qos
#将之前创建的名为 qos 的访问列表应用于这个类映射,用于识别与该访问列表匹配的流量。
SW(config-classmap-qos)#match access-group qos
SW(config-classmap-qos)#q
#创建一个策略映射,用于定义对特定流量类的策略处理。
SW(config)#policy-map qos
#将之前创建的 qos 类映射应用于策略映射中,表示这个策略映射将影响匹配 qos 类映射的流量
SW(config-policymap-qos)#class qos
#定义了对该类流量的策略处理。在这里,指定了当流量超过 10240kb的策略 4069kb 时,将丢弃该流量
SW(config-policymap-qos-class-qos)#policy 4069 10240 exceed-action drop
SW(config-policymap-qos-class-qos)#q
SW(config-policymap-qos)#q
SW(config)#interface ethernet 1/0/6
#将先前的策略映射到1/0/6接口
SW(config-if-ethernet1/0/6)#service-policy input qos
SW(config-if-ethernet1/0/6)#
验证
6.在SW上配置办公用户在上班时间(周一到周五9:00-17:00)禁止访问外网,内部网络正常访问。
SW
#创建一个时间规则
SW(config)#time-range time
#设置工作时间(周一到周五)的9:00-17:00
SW(config-time-range-time)#periodic weekdays 09:00:00 to 17:00:00
SW(config-time-range-time)#q
#创建一个名为 time 的扩展 IP 访问列表。
SW(config)#ip access-list extended time
#拒绝在时间范围 time(时间规则) 内,从 20.1.41.0/24 到任意目的地的所有 IP 流量
SW(config-ip-ext-nacl-time)#deny ip 20.1.41.0 0.0.0.255 any-destination time-range time
#允许从 20.1.41.0/24 到 20.1.0.0/16 的所有 IP 流量。
SW(config-ip-ext-nacl-time)#permit ip 20.1.41.0 0.0.0.255 20.1.0.0 0.0.255.255
SW(config-ip-ext-nacl-time)#q
#将名为 time 的 IP 访问列表应用于 VLAN 41 的入流量方向
SW(config)#vacl ip access-group time in vlan 41
SW(config)#
验证
7.总公司SW交换机模拟因特网交换机,通过某种技术实现本地路由和因特网路由进行隔离,因特网路由实例名internet
SW(config)#ip vrf internet
SW(config)#interface vlan 23
SW(config-if-vlan23)#ip vrf forwarding internet
Interface IP address removed due to enabling VRF internet
SW(config-if-vlan23)#ip address 202.22.1.2 255.255.255.248
SW(config-if-vlan23)#interface vlan 24
SW(config-if-vlan24)#ip vrf forwarding internet
Interface IP address removed due to enabling VRF internet
SW(config-if-vlan24)#ip address 203.25.1.1 255.255.255.24
SW(config-if-vlan24)#q
8.对SW上VLAN50开启以下安全机制。业务内部终端相互二层隔离;14口启用环路检测,环路检测的时间间隔为10s,发现环路以后关闭该端口,恢复时间为30分钟,如私设DHCP服务器关闭该端口,同时开启防止ARP网关欺骗攻击。
SW
SW#config
#启用 L2 层的端口隔离功能
SW(config)#isolate-port apply l2
#接口加入到端口隔离组 1 中,以限制这些端口之间的直接通信
SW(config)#isolate-port group 1 switchport interface ethernet 1/0/13-14
#设置环回检测的时间间隔为 10 秒。
SW(config)#loopback-detection interval-time 10 10
#设置控制恢复超时时间为 1800 秒(30 分钟),在此期间尝试恢复被关闭的接口
SW(config)#loopback-detection control-recovery timeout 1800
#启用 DHCP 服务
SW(config)#service dhcp
#启用 DHCP 欺骗保护功能,用于防止非信任端口发送的 DHCP 消息
SW(config)#ip dhcp snooping enable
SW(config)#interface ethernet 1/0/14
#启用 VLAN 50 上的环回检测
SW(config-if-ethernet1/0/14)#loopback-detection specified-vlan 50
#检测到环回时,自动关闭接口
SW(config-if-ethernet1/0/14)#loopback-detection control shutdown
#启用 ARP 防护,指定 IP 地址 20.1.50.1
SW(config-if-ethernet1/0/14)#arp-guard ip 20.1.50.1
#在检测到不可信 DHCP 消息时关闭接口
SW(config-if-ethernet1/0/14)#ip dhcp snooping action shutdown
SW(config-if-ethernet1/0/14)#interface ethernet 1/0/5
#将此接口配置为信任端口,允许通过合法的 DHCP 流量
SW(config-if-ethernet1/0/5)#ip dhcp snooping trust
验证
9.配置使北京公司内网用户通过总公司出口BC访问因特网,分公司内网用户通过分公司出口FW访问因特网,要求总公司核心交换机9口VLAN41业务的用户访问因特网的流量往反数据流经过防火墙在通过BC访问因特网;防火墙untrust1和trust1开启安全防护,参数采用默认参数。要求有测试结果
FW
添加南京分公司的地址,为什么是他们三个地址呐,因为AC控制器有6个vlan,其中有两个是SW的专线还有一个是FW,而FW和AC是一个公司的,剩下的这三个都是PC,也就是分公司的内网用户
创建一个源NAT
新建两个安全策略,一个管理进,一个管理出
配置虚拟路由
#进入全局配置模式
FW# configure
#进入名为“trust-vr”的虚拟路由器配置模式
FW(config)# ip vrouter trust-vr
#设置一个默认路由,将所有未指定的流量指向 IP 地址 202.22.1.2
FW(config-vrouter)# ip route 0.0.0.0 0.0.0.0 202.22.1.2
BC
SW
#在交换机上配置静态路由,所有的流量都去20.1.0.18
SW(config)#ip route 0.0.0.0/0 20.1.0.18
SW(config)#ip route vrf internet 0.0.0.0/0 203.23.1.2
SW(config)#ip route vrf internet 0.0.0.0/0 202.22.1.1
SW(config)#ip access-list extended PNR
SW(config-ip-ext-nacl-pnr)#permit ip 20.1.41.0 0.0.0.255 host-destination 0.0.0.0
SW(config-ip-ext-nacl-pnr)#q
SW(config)#class-map PNR
SW(config-classmap-pnr)#match access-group PNR
SW(config-classmap-pnr)#q
SW(config)#policy-map PNR
SW(config-policymap-pnr)#class PNR
SW(config-policymap-pnr-class-pnr)#set ip nexthop 20.1.0.1
SW(config-policymap-pnr-class-pnr)#q
SW(config-policymap-pnr)#q
SW(config)#interface ethernet 1/0/9
SW(config-if-ethernet1/0/9)#service-policy input PNR
验证
10.为了防止DOS攻击的发生,在总部交换机vlan50接口下对MAC、ARP、ND表项数量进行限制,具体要求为:最大可以学习20个动态MAC地址、20个动态ARP地址、50个NEIGHBOR表项
SW
SW#config
SW(config)#interface ethernet 1/0/13-14
SW(config-if-port-range)#switchport mac-address dynamic maximum 20
SW(config-if-port-range)#switchport arp dynamic maximum 20
SW(config-if-port-range)#switchport nd dynamic maximum 50
验证
写的时候有肯能有的地方有纰漏,请各位大佬师傅在评论区或私信给我我改正
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
