Packet Tracer - Layer 2 Security

最新推荐文章于 2024-01-16 19:22:24 发布
最新推荐文章于 2024-01-16 19:22:24 发布
阅读量1.1k 收藏 24
点赞数 20
分类专栏: CCNA思科实验 文章标签: 服务器 asp.net 数据库 运维 思科 Cisco CCNA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuexuan_521/article/details/135416751
版权

Packet Tracer - 第二层安全配置任务

在这里插入图片描述

目标

  • 确保将中心交换机(3560型号)设置为根桥。
  • 保护生成树协议参数以防止对STP的操控攻击。
  • 启用端口安全功能以防止CAM表溢出攻击。

背景/场景

最近网络遭受了一系列攻击。因此,网络管理员已指派您负责配置第二层安全措施。

为了确保网络性能和安全性达到最优状态,管理员希望确定中心3560型号交换机作为根桥。为防止对生成树协议进行篡改攻击,管理员希望确保STP参数得到安全配置。针对CAM表溢出攻击的风险,网络管理员决定配置端口安全策略,限制每个交换机端口学习到的MAC地址数量。一旦学习到的MAC地址超过设定的限制,管理员希望建立机制自动关闭该端口。

所有交换机设备已经预先配置了以下信息:

  • 启用密码:ciscoenpa55
  • 控制台密码:ciscoconpa55
  • SSH用户名及密码:SSHadmin / ciscosshpa55

第一部分:配置根桥

步骤1:确定当前的根桥。

从中心交换机(Central)发出 show spanning-tree 命令,以确定当前的根桥、查看正在使用的端口及其状态。

Central#show spanning-tree

VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    32769
             Address     0009.7C61.9058
             Cost        4
             Port        25(GigabitEthernet0/1)
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
             Address     00D0.D31C.634C
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Gi0/2            Desg FWD 4         128.26   P2p
Gi0/1            Root FWD 4         128.25   P2p
Fa0/1            Desg FWD 19        128.1    P2p

哪个交换机是当前的根桥?

基于当前的根桥,请绘制由此得出的生成树拓扑结构。

步骤2:将Central设置为主根桥。

使用命令 spanning-tree vlan 1 root primary,将Central设置为根桥。

Central(config)#spanning-tree vlan 1 root primary

步骤3:将SW-1设置为备用根桥。

使用命令 spanning-tree vlan 1 root secondary,将SW-1设置为备用根桥。

SW-1(config)#spanning-tree vlan 1 root secondary

步骤4:验证生成树配置。

发出 show spanning-tree 命令来验证Central已成为根桥。

在Central#提示符下执行了该命令后显示如下信息:

VLAN0001
   Spanning tree enabled protocol ieee
   Root ID  Priority      24577
            Address       00D0.D31C.634C
          -->>  This bridge is the root  <<--
            Hello Time  2 sec  Max Age  20 sec   Forward Delay  15 sec

根据上述信息,哪个交换机是当前的根桥?

基于新的根桥设置,请绘制由此得出的生成树拓扑结构。

第二部分:防止STP攻击

步骤1:在所有接入端口上启用PortFast。

PortFast应在连接至单个工作站或服务器的接入端口上配置,以使它们更快地进入活动状态。在SW-A和SW-B的相连接入端口上使用 spanning-tree portfast 命令来启用PortFast

SW-A(config)#int range f0/1-4
SW-A(config-if-range)#spanning-tree portfast

SW-B(config)#int range f0/1-4
SW-B(config-if-range)#spanning-tree portfast

步骤2:在所有接入端口上启用BPDU防护。

BPDU guard是一项功能,可以有助于防止恶意交换机和在接入端口上的欺骗行为。在SW-A和SW-B的接入端口上启用BPDU防护。

注解:为了防止STP报文(BPDU)操纵攻击,在接口配置模式下可以对每个单独端口使用命令 spanning-tree bpduguard enable 来启用BPDU防护;或者在全局配置模式下使用命令 spanning-tree portfast bpduguard default 来默认为所有启用PortFast的端口启用BPDU防护。针对本活动评分目的,请使用 spanning-tree bpduguard enable 命令。

SW-A(config)#int range f0/1-4
SW-A(config-if-range)#spanning-tree bpduguard enable

SW-B(config)#int range f0/1-4
SW-B(config-if-range)#spanning-tree bpduguard enable

步骤3:启用根保护。

根保护可以在非根端口的所有交换机端口上启用,最好部署在连接到其他非根交换机的端口上。使用 show spanning-tree 命令确定每个交换机上根端口的位置。

在SW-1上,在端口F0/23和F0/24上启用根保护。同样,在SW-2上,在端口F0/23和F0/24上也启用根保护。

SW-1(config)#int range f0/23-24
SW-1(config-if-range)#spanning-tree guard root

SW-2(config)#int range f0/23-24
SW-2(config-if-range)#spanning-tree guard root

第三部分:配置端口安全并禁用未使用端口

步骤1:在连接到主机设备的所有端口上配置基本端口安全。

此操作应在SW-A和SW-B的所有接入端口上执行。设置允许学习的MAC地址最大数量为2,允许动态学习MAC地址,并将违规处理方式设为shutdown(关闭)。

注解:只有当交换机端口配置为接入模式时,才能启用端口安全功能。

SW-A(config)#interface range f0/1 - 22
SW-A(config-if-range)#switchport mode access
SW-A(config-if-range)#switchport port-security
SW-A(config-if-range)#switchport port-security maximum 2
SW-A(config-if-range)#switchport port-security violation shutdown
SW-A(config-if-range)#switchport port-security mac-address sticky

SW-B(config)#interface range f0/1-22
SW-B(config-if-range)#switchport mode access
SW-B(config-if-range)#switchport port-security max
SW-B(config-if-range)#switchport port-security maximum 2
SW-B(config-if-range)#switchport port-security violation shutdown
SW-B(config-if-range)#switchport port-security mac-address sticky

为什么与其它交换机设备相连的端口不启用端口安全?

步骤2:验证端口安全配置。

a. 在SW-A上,输入命令 show port-security interface f0/1 来确认已成功配置了端口安全。

SW-A#show port-security int f0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0

SW-A# show port-security interface f0/1
端口安全              : 已启用
端口状态                : 安全且已启动
违规模式             : 关闭端口
老化时间                 : 0分钟
老化类型                 : 绝对时间
静态安全MAC地址老化: 禁用
最大MAC地址数      : 2
总MAC地址数        : 0
已配置MAC地址数   : 0
粘性MAC地址数       : 0
最近源地址:VLAN   : 0000.0000.0000:0
安全违规计数         : 0

b. 从C1向C2发送Ping请求,然后再次输入 show port-security interface f0/1 命令,以验证交换机是否已学会C1的MAC地址。
在这里插入图片描述
在这里插入图片描述

步骤3:禁用未使用的端口。

禁用当前所有未使用的端口。

SW-A(config)#int range f0/5-22
SW-A(config-if-range)#shutdown

SW-B(config)#int range f0/5-22
SW-B(config-if-range)#shutdown

步骤4:检查结果。

您的完成度应为100%。点击“检查结果”查看反馈信息以及所需组件完成情况的验证。

实验脚本:

Central:

! 使Central成为Vlan1的根桥
spanning-tree vlan 1 root primary

SW-1:

! 使SW-1成为Vlan1的次根桥
spanning-tree vlan 1 root secondary
! 进入f0/23-f0/24端口
interface range fastEthernet 0/23 - fastEthernet 0/24
! 启用STP根防护功能,在此端口不接受拥有更优BID的BPDU报文
spanning-tree guard root

SW-2:

! 进入f0/23-f0/24端口
interface range fastEthernet 0/23 - fastEthernet 0/24
! 启用STP根防护功能,在此端口不接受拥有更优BID的BPDU报文
spanning-tree guard root

SW-A:

! 选择接入的端口,F0/1-F0/4
interface range fastEthernet 0/1 - fastEthernet 0/4
! 让F0/1-F0/4端口开启portfast(不参与生成树)
spanning-tree portfast 
! 为他们启用BPDU防护功能,在此端口不接受BPDU;收到BPDU,端口禁用
spanning-tree bpduguard enable 
! 开启access模式
switchport mode access
! 开启端口安全
switchport port-security 
! 设置最大Mac学习数为2
switchport port-security maximum 2
! 设置学习到的Mac地址将被保存
switchport port-security mac-address sticky 
! 设置超过措施:关闭端口
switchport port-security violation shutdown 
! 进入不使用的端口
interface range fastEthernet 0/5 - fastEthernet 0/22
! 关闭
shutdown

SW-B:

! 选择接入的端口,F0/1-F0/4
interface range fastEthernet 0/1 - fastEthernet 0/4
! 让F0/1-F0/4端口开启portfast(不参与生成树)
spanning-tree portfast 
! 为他们开启BPDU
spanning-tree bpduguard enable 
! 开启access模式
switchport mode access
! 开启端口安全
switchport port-security 
! 设置最大Mac学习数为2
switchport port-security maximum 2
! 设置学习到的Mac地址将被保存
switchport port-security mac-address sticky 
! 设置超过措施:关闭端口
switchport port-security violation shutdown 
! 进入不使用的端口
interface range fastEthernet 0/5 - fastEthernet 0/22
! 关闭
shutdown
玥轩_521
关注
  • 20
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
6.3.1.2 Packet Tracer - Layer 2 Security
01-02
6.3.1.2 Packet Tracer - 第二安全配置 在本实验任务中,你将使用Cisco Packet Tracer模拟环境来配置和实施第二(数据链路)的安全措施。这可能包括但不限于以下内容: 1. **端口安全**:配置交换机端口以...
Packet Tracer - 第 2 安全
傻傻的心动的博客
05-11 2637
Packet Tracer - 第 2 安全
Packet Tracer - 第 2 VLAN 安全
傻傻的心动的博客
05-11 3018
Packet Tracer - 第 2 VLAN 安全
Cisco Packet Tracer部署wifi及其安全维护(二)
double_happy111的博客
12-31 1156
Cisco Packet Tracer部署wifi及其安全维护(二) 文章目录Cisco Packet Tracer部署wifi及其安全维护(二)前言实验要求实验拓扑图实验步骤总结 前言 之前,我们部署了简单的wifi实战项目,接下来,我们就开始提升难度了。 实验要求 完成所有设备以及PC的配置,通过配置三交换机实现VLAN10和VLAN20之间PC的通信,同时不影响无线终端访问外币的服务器 实...
Packet Tracer - Layer 2 VLAN Security
最新发布
YueXuan_521的博客
01-16 1258
Packet Tracer - Layer 2 VLAN Security Packet Tracer - 第二VLAN安全配置任务 目标 在SW-1和SW-2之间建立新的冗余链路。 在新连接的SW-1和SW-2之间的干线链路上启用中继并配置安全措施。 创建一个新的管理VLAN(VLAN 20)并将一台管理PC连接到该VLAN。 实施ACL以防止外部用户访问管理VLAN。
Cisco Packet Tracer 思科中交换机端口安全配置与风暴控制
Cisco Packet Tracer 思科模拟器知识分享
09-12 6526
本篇文章主要讲解网络安全技术的实现,主要是交换机的端口安全模式的启用与配置,以及网络风暴的命令,每条命令都有详细的说明与解析,望能帮助到你。
11.6.1 Packet Tracer - Switch Security Configuration
05-27
11.6.1 Packet Tracer - Switch Security Configuration Cisco Packet Tracer 思科模拟器 正确答案文件 可直接上交正确答案文件 本答案版权归mewhaku所有,严禁再次转载!!! Copyright @mewhaku 2022 All ...
6.4.1 Packet Tracer - Implement Etherchannel
05-27
6.4.1 Packet Tracer - Implement Etherchannel Cisco Packet Tracer 思科模拟器 正确答案文件 可直接上交正确答案文件 本答案版权归mewhaku所有,严禁再次转载!!! Copyright @mewhaku 2022 All Rights ...
6.3.1.3 Packet Tracer - Layer 2 VLAN Security
01-02
6.3.1.3 Packet Tracer - 第二VLAN安全配置 在本实验任务中,你将使用Cisco Packet Tracer模拟环境来配置和实施第二(数据链路)的VLAN安全性措施。这可能包括以下几个方面: 1. **VLAN划分**:根据设备类型...
11.6.1-packet-tracer---switch-security-configuration_zh-CN.pka
11-16
11.6.1-packet-tracer---switch-security-configuration_zh-CN.pka
4.7.1: Packet Tracer 综合技巧练习
05-08
4.7.1: Packet Tracer 综合技巧练习
STP的配置
390的博客
04-27 5840
一.实验前准备 在进行这个实验的时候,需要了解生成树的工作原理(生成树工作的流程?根交换机的选举原则?桥ID的组成部分?根端口和指定端口的选举过程?),详情可以看上一条博客。 二.设备设置 1.建立如下图所示拓扑图并初始化设备 2.修改交换机树运行模式 [LSW1]stp mode stp 【LW2】stp mode stp 【LW3】stp mode stp 【LW4】stp mode stp 【LW5】stp mode stp 3.确定生成树的根(一些例子) (1)
Packet Tracer(上) -2网络工程训练(完)
朝游碧海的博客
04-09 3174
思科--2网络工程训练您的网络管理员对您担任 LAN 技术人员所做的工作印象深刻。她希望您现在展示一下配置路由器连接两个 LAN 的能力。您的任务包括使用 Cisco IOS 配置路由器和交换机的基本设置。然后,您需要通过测试端到端连接来检验您的配置和现有设备上的配置。ASw-2交换机配置RTA路由器配置 网络工程训练–PKA下载地址 目标 · 完成网络文档。 · 在路由器...
Cisco Packet Tracer思科模拟器STP优先级(生成树)含安全特性
Cisco Packet Tracer 思科模拟器知识分享
09-18 3634
本文主要讲解思科模拟器生成树协议的优先级(STP),以及安全特性的讲解,干货满满,值得一看。
理解并演示:Root Guard(根保护)
weixin_34265814的博客
07-08 987
理解并演示:Root Guard(根保护)                              本文截自于博主CCNP交换技术稿件内容     Root Guard是一种强制的根保护措施,它的作用是防止意外(或者非法)加入的交换机成为网络中的根桥,如图所示,原本交换环路中只存在S1、S2、S3时,正确的根桥应该是S1,因为它有最优势的BID(一般而言是因为MAC地址最小),如果此时在原本的交...
使用Cisco Packet Tracer之交换机端口安全之MAC地址洪泛***
weixin_34265814的博客
10-06 652
我们都知道,组建我们的网络,交换机是必不可少的一个设备,我们都会用它来做一些相应的配置,如划分VLAN、VTP、以及生成树这些,,但是当我们配置了这些以后呢?我们如何来保证我们局域网内的端口安全呢?这是一个必要的操作。那么下面我们就使用Cisco Packet Tracer 5.2来做做这方面的实验,但是还是有一些不足,哎……,这也没有办法,毕竟是模拟器不是真实的交换机。 ...
实验四 应用和传输协议分析(PacketTracer
do_best_的博客
04-21 1万+
具体细节待完善!!一、实验目的:  通过本实验,熟悉PacketTracer的使用,学习在PacketTracer中仿真分析应用和传输协议,进一步加深对协议工作过程的理解。二、实验内容:  研究应用和传输协议     从 PC 使用 URL 捕获 Web 请求,运行模拟并捕获通信,研究捕获的通信。     Wireshark可以捕获和显示通过网络接口进出其所在 PC 的所有网络通信。Pac...
Cisco Packet Tracer交换机与两交换机的配置
热门推荐
m0_61730243的博客
03-23 1万+
交换机和普通交换机简洁清晰的配置步骤。
交换机的安全配置(Packet Tracer 5.0)
weixin_34026276的博客
12-29 875
实验目的: 在本实验中,将学习交换机的安全配置: 1. 掌握访问控制列表ACL的使用 2. 基于端口的传输控制 实验环境: 1.实验的逻辑图如图1: 2. 实验环境描述: l 三台交换机集联,其中SW3560为核心交换机3560,分支交换机为SW2950 Switch0通过Fastethernet0/1与SW1的Fastethernet0/...
packet tracer - 配置 ripv2
06-28
### 回答1: 要配置RIPv2,您可以按照以下步骤操作: 1. 打开Packet Tracer并创建一个新的拓扑图。 2. 添加所需的设备,例如路由器和PC。 3. 在路由器上启用RIPv2协议。要做到这一点,您需要进入路由器的CLI界面并输入以下命令: Router>enable Router#configure terminal Router(config)#router rip Router(config-router)#version 2 Router(config-router)#network <network address> 在上面的命令中,<network address>是您要添加到RIPv2协议中的网络地址。 4. 重复步骤3,以便在所有路由器上启用RIPv2协议。 5. 配置路由器之间的连接。要做到这一点,您需要进入每个路由器的CLI界面并输入以下命令: Router(config)#interface <interface> Router(config-if)#ip address <ip address> <subnet mask> Router(config-if)#no shutdown 在上面的命令中,<interface>是您要配置的接口名称,<ip address>是该接口的IP地址,<subnet mask>是子网掩码。 6. 重复步骤5,以便在所有路由器之间配置连接。 7. 测试您的拓扑图,确保RIPv2协议正在正确地工作。 希望这可以帮助您配置RIPv2协议。 ### 回答2: Packet Tracer是一款模拟网络环境的软件,它具有强大的功能和易于操作的界面,可以用来模拟各种网络配置和协议,其中包括RIPv2协议。 在Packet Tracer中配置RIPv2协议,需要按照以下步骤进行: 1. 创建拓扑 先创建一个简单的拓扑,在拓扑中包括一个路由器和两个交换机,将路由器的Fa0/0接口和交换机的Fa0/1接口相互连接,将交换机的Fa0/2接口与主机相连。 2. 配置路由器 进入路由器CLI界面,输入以下指令: enable configure terminal router rip version 2 network 192.168.1.0 network 192.168.2.0 这里,version 2指明使用RIPv2协议,network 192.168.1.0和network 192.168.2.0分别表示路由器所在的两个子网。 3. 配置交换机 进入交换机CLI界面,输入以下指令: enable configure terminal interface FastEthernet0/1 switchport mode trunk exit interface FastEthernet0/2 switchport access vlan 2 exit interface vlan 1 ip routing exit interface vlan 2 ip address 192.168.2.2 255.255.255.0 exit 这里,interface FastEthernet0/1用于将交换机连接到路由器上,将此接口配置为trunk模式;interface FastEthernet0/2用于将交换机与主机连接,配置为access模式,连接到VLAN 2;interface vlan 1和interface vlan 2用于配置交换机的两个VLAN,其中VLAN 2的IP地址为192.168.2.2。 4. 配置主机 进入主机的网络配置界面,输入以下指令: IP地址:192.168.2.1 子网掩码:255.255.255.0 网关:192.168.2.2 这里,IP地址为主机的IP地址,子网掩码为255.255.255.0,网关为交换机的IP地址。 完成以上步骤后,RIPv2协议的配置即完成。在Packet Tracer的模拟网络环境中,通过使用RIPv2协议,路由器可以自动获得与其直接相连的网络路径,主机也可以通过交换机找到正确的路由器来发送和接收网络数据包,从而实现网络的正常运行。 ### 回答3: 在配置RIPv2之前,我们需要确保RIPv2协议是被启用的,默认是禁用的。在Packet Tracer中,我们可以使用命令:“show ip protocols”来确认协议是否启用。 配置步骤: 1. 创建网络拓扑并连接设备,确认设备的IP地址和子网掩码设置是正确的。 2. 让我们从Router1开始配置RIPv2协议。首先,进入路由器配置模式,使接口启用RIPv2协议,命令应该是这样的:router rip, network xxx.xxx.xxx.xxx(xxx是Router1中的接口地址和掩码,可以使用0.0.0.0作为通配符网络)。 3. 接着,进行router rip全局配置。启用RIPv2协议,使用network命令,然后在路由器接口中使用no shutdown命令以启用该接口。如下图所示: ![image.png](https://cdn.luogu.com.cn/upload/image_hosting/e1yp67ex.png) 4. 对于其他路由器,我们重复上述步骤,并确保配置了正确的网络地址和掩码,确保它们是连接到网络的。 5. 最后,使用命令“show ip route”来查看路由器的路由表,并确认计算机之间的通信是否正常进行。 总结: RIPv2协议是在Internet中广泛使用的一种路由协议,在Packet Tracer中配置RIPv2也是必不可少的。通过创建正确的拓扑和正确的配置,我们可以使我们的网络和设备实现鲁棒的通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

玥轩_521

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值