Packet Tracer - Layer 2 VLAN Security

于 2024-01-16 19:22:24 发布
阅读量1.3k 收藏 19
点赞数 46
分类专栏: CCNA思科实验 文章标签: 网络 智能路由器 服务器 运维 笔记 网络安全 CCNA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuexuan_521/article/details/135418408
版权
本文详细描述了如何在PacketTracer环境中,通过配置第二层VLAN、启用冗余链路、设置中继功能以及实施安全策略,创建管理VLAN20并保护管理PC,同时限制外部访问。涉及步骤包括验证连通性、交换机配置和路由器安全设置。
摘要由CSDN通过智能技术生成

Packet Tracer - 第二层VLAN安全配置任务

在这里插入图片描述

目标

  • 在SW-1和SW-2之间建立新的冗余链路。
  • 在新连接的SW-1和SW-2之间的干线链路上启用中继并配置安全措施。
  • 创建一个新的管理VLAN(VLAN 20)并将一台管理PC连接到该VLAN。
  • 实施ACL以防止外部用户访问管理VLAN。

背景/场景

一家公司的网络当前使用两个独立的VLAN:VLAN 5和VLAN 10。此外,所有干线端口都已配置为本征VLAN 15。网络管理员希望在交换机SW-1和SW-2之间添加一条冗余链路。这条链路必须启用中继功能,并确保所有必要的安全设置到位。

此外,网络管理员还希望将一台管理PC连接到交换机SW-A。管理员希望这台管理PC能够连接到所有交换机及路由器,但不希望任何其他设备能够连接到管理PC或这些交换机上。因此,管理员计划创建一个新的VLAN 20用于管理目的。

所有设备已经预先配置了以下信息:

  • 启用密码:ciscoenpa55
  • 控制台密码:ciscoconpa55
  • SSH用户名及密码:SSHadmin / ciscosshpa55

第一部分:验证连通性

步骤1:验证C2(VLAN 10)与C3(VLAN 10)之间的连通性。

在这里插入图片描述
在这里插入图片描述

步骤2:验证C2(VLAN 10)与D1(VLAN 5)之间的连通性。
注:如果使用简易PDU GUI包,请确保ping两次以允许ARP过程完成。

在这里插入图片描述
在这里插入图片描述

第二部分:在SW-1和SW-2之间创建冗余链路

步骤1:连接SW-1和SW-2。

使用交叉线缆将SW-1的F0/23端口与SW-2的F0/23端口相连。
在这里插入图片描述

步骤2:在SW-1和SW-2之间的链路上启用干线功能,包括所有干线安全机制。

已预先配置了所有现存干线接口的干线功能。新链接必须设置为干线,并包括所有干线安全机制。在SW-1和SW-2上,将端口设置为干线模式,将本征VLAN 15分配给干线端口,并禁用自动协商功能。

SW-1(config)#interface f0/23
SW-1(config-if)#switchport mode trunk
SW-1(config-if)#switchport trunk native vlan 15
SW-1(config-if)#switchport nonegotiate
SW-1(config-if)#no shutdown

SW-2(config)#interface f0/23
SW-2(config-if)#switchport mode trunk
SW-2(config-if)#switchport trunk native vlan 15
SW-2(config-if)#switchport nonegotiate
SW-2(config-if)#no shutdown

第三部分:启用VLAN 20作为管理VLAN

网络管理员希望通过管理PC访问所有交换机和路由设备。出于安全原因,管理员希望确保所有受管设备都在一个独立的VLAN中。

步骤1:在SW-A上启用管理VLAN(VLAN 20)。

a. 在SW-A上启用VLAN 20。

SW-A(config)#vlan 20
SW-A(config-vlan)#exit

b. 创建VLAN 20接口并在192.168.20.0/24网络内分配一个IP地址。

SW-A(config)#interface vlan 20
SW-A(config-if)#ip address 192.168.20.1 255.255.255.0

步骤2:在所有其他交换机上启用相同的管理VLAN。

a. 在SW-B、SW-1、SW-2和中央交换机上创建管理VLAN。

Central(config)#vlan 20
Central(config-vlan)#exit

SW-1(config)#vlan 20
SW-1(config-vlan)#exit

SW-2(config)#vlan 20
SW-2(config-vlan)#exit

SW-B(config)#vlan 20
SW-B(config-vlan)#exit

b. 在所有交换机上创建VLAN 20接口,并在192.168.20.0/24网络内分配一个IP地址。

Central(config)#int vlan 20
Central(config-if)#ip address 192.168.20.2 255.255.255.0

SW-1(config)#int vlan 20
SW-1(config-if)#ip address 192.168.20.3 255.255.255.0

SW-2(config)#int vlan 20
SW-2(config-if)#ip address 192.168.20.4 255.255.255.0

SW-B(config)#int vlan 20
SW-B(config-if)#ip address 192.168.20.5 255.255.255.0

步骤3:连接并配置管理PC。

将管理PC连接到SW-A的F0/1端口,并确保为其分配192.168.20.0/24网络内的可用IP地址。

在这里插入图片描述

在这里插入图片描述

步骤4:在SW-A上确保管理PC属于VLAN 20。

接口F0/1必须是VLAN 20的一部分。

SW-A(config)#int f0/1
SW-A(config-if)#switchport access vlan 20
SW-A(config-if)#no shutdown

步骤5:验证管理PC与所有交换机之间的连通性

管理PC应能成功ping通SW-A、SW-B、SW-1、SW-2和中央交换机。

请添加图片描述
请添加图片描述

第四部分:使管理PC能够访问路由器R1

步骤1:在路由器R1上启用新的子接口。

a. 创建子接口g0/0.3,并设置封装类型为dot1q 20,以便支持VLAN 20。

R1(config)#int g0/0.3
R1(config-subif)#encapsulation dot1Q 20

b. 分配192.168.20.0/24网络内的IP地址。

R1(config)#int g0/0.3
R1(config-subif)#ip address 192.168.20.100 255.255.255.0

步骤2:验证管理PC与R1之间的连通性。

务必在管理PC上配置默认网关以实现连通性。

步骤3:启用安全性。

虽然管理PC必须能够访问路由器,但其他任何PC都不应能够访问管理VLAN。

a. 创建只允许管理PC访问路由器的ACL。

R1(config)#access-list 101 deny ip any 192.168.20.0 0.0.0.255
R1(config)#access-list 101 permit ip any any
R1(config)#access-list 102 permit ip host 192.168.20.6 any

b. 将ACL应用到适当的接口上。

R1(config)#int g0/0.1
R1(config-subif)#ip access-group 101 in
R1(config-subif)#int g0/0.2
R1(config-subif)#ip access-group 101 in

R1(config)#line vty 0 4
R1(config-line)#access-class 102 in

注:可以有多种方式创建ACL来满足必要的安全要求。因此,该活动这一部分的评分基于正确的连通性需求。管理PC必须能够连接到所有交换机和路由器,而所有其他PC则不能连接到管理VLAN内的任何设备。

步骤4:验证安全性。

a. 验证只有管理PC可以访问路由器。使用SSH从管理PC通过用户名SSHadmin和密码ciscosshpa55登录R1。

PC> ssh -l SSHadmin 192.168.20.100

在这里插入图片描述

b. 从管理PC尝试ping SW-A、SW-B和R1,是否成功?请解释结果。
在这里插入图片描述

VLAN20 中的设备不需要通过路由器进行路由,不受ACL的影响。

c. 从D1尝试ping管理PC,是否成功?请解释结果。
在这里插入图片描述

不同 VLAN 中的设备 ping VLAN20 中的设备,必须进行路由,而路由器具有阻止所有数据包访问 192.168.20.0 目标网络的 ACL。

步骤5:检查结果。

您的完成度应该为100%。点击“检查结果”查看反馈信息以及已完成的必要组件验证。

如果所有组件都看似正确,但活动仍显示未完成,则可能是由于验证ACL操作的连通性测试出现问题。

实验脚本:

Part 2:

SW-1、SW-2

连接SW-1、SW-2,使用交叉线路,要开端口
连接SW-A、PC,要开端口
interface f0/23
switchport mode trunk
switchport trunk native vlan 15
switchport nonegotiate
no shutdown

Part 3:

SW-A:

int f0/1
switchport access vlan 20
no shutdown

SW-1:

int f0/23
switchport trunk native vlan 15
switchport mode trunk 
switchport nonegotiate

SW-2:

int f0/23
switchport trunk native vlan 15
switchport mode trunk 
switchport nonegotiate

SW-A、B、1、2、Central:

vlan 20
int vlan 20
ip address 192.168.20.XXX 255.255.255.0

Part 4:

R1:

int g0/0.3
encapsulation dot1Q 20
ip address 192.168.20.20 255.255.255.0

R1:

access-list 101 deny ip any 192.168.20.0 255.255.255.0
access-list 101 permit ip any any 
access-list 102 permit ip host 192.168.20.6 any 

int g0/0.1
ip access-group 101 in 

int g0/0.2
ip access-group 101 in 

line vty 0 4
access-class 102 in

PC:

ssh -l SSHadmin 192.168.20.20
玥轩_521
关注
专栏目录
Packet Tracer - 第 2 层 VLAN 安全
傻傻的心动的博客
05-11 3382
Packet Tracer - 第 2 层 VLAN 安全
Cisco Packet Tracer部署wifi及其安全维护(二)
double_happy111的博客
12-31 1361
Cisco Packet Tracer部署wifi及其安全维护(二) 文章目录Cisco Packet Tracer部署wifi及其安全维护(二)前言实验要求实验拓扑图实验步骤总结 前言 之前,我们部署了简单的wifi实战项目,接下来,我们就开始提升难度了。 实验要求 完成所有设备以及PC的配置,通过配置三层交换机实现VLAN10和VLAN20之间PC的通信,同时不影响无线终端访问外币的服务器 实...
Packet Tracer(第二期)--1VLAN
朝游碧海的博客
04-02 4375
思科–VLAN 这里写目录标题思科--VLAN拓扑地址分配表VLAN 和端口分配表场景要求 拓扑 地址分配表 VLAN 和端口分配表 场景 在本练习中,完整配置了两台交换机。在第三台交换机上,您负责分配 IP 地址到交换机虚拟接口,配置 VLAN,将 VLAN 分配到接口,配置中继并执行基本的交换机安全措施。 要求 S1 和 S2 已配置完全。您不能访问这些交换机。 您负责根据以下要求配置 ...
交换机的安全配置(Packet Tracer 5.0)
weixin_34026276的博客
12-29 930
实验目的: 在本实验中,将学习交换机的安全配置: 1. 掌握访问控制列表ACL的使用 2. 基于端口的传输控制 实验环境: 1.实验的逻辑图如图1: 2. 实验环境描述: l 三台交换机集联,其中SW3560为核心交换机3560,分支交换机为SW2950 Switch0通过Fastethernet0/1与SW1的Fastethernet0/...
6.3、VLAN间路由
养龟大学生的博客
07-07 489
6.3、VLAN间路由 前言 部署了VLAN的传统交换机不能实现不同VLAN间的二层报文转发,因此必须引入路由技术来实现不同VLAN间的通信。VLAN路由可以通过二层交换机配合路由器来实现,也可以通过三层交换机来实现 随着不同业务的需求,现在要求不同VLAN间进行转发,不同VLAN相当于不同的广播域,不同的广播域想要互通,势必需要路由功能来进行实现 实现路由功能可以通过路由器实现,但是多个路由器的使用从费用上来看是很不现实的。我们通过交换机来实现VLAN间路由,即三层交换机 ...
6.3.1.3 Packet Tracer - Layer 2 VLAN Security
01-02
6.3.1.3 Packet Tracer - 第二层VLAN安全配置 在本实验任务中,你将使用Cisco Packet Tracer模拟环境来配置和实施第二层(数据链路层)的VLAN安全性措施。这可能包括以下几个方面: 1. **VLAN划分**:根据设备类型...
6.4.1 Packet Tracer - Implement Etherchannel
05-27
6.4.1 Packet Tracer - Implement Etherchannel Cisco Packet Tracer 思科模拟器 正确答案文件 可直接上交正确答案文件 本答案版权归mewhaku所有,严禁再次转载!!! Copyright @mewhaku 2022 All Rights ...
6.3.1.2 Packet Tracer - Layer 2 Security
01-02
2. **VLAN ACLs (VACLs)**:配置基于VLAN的访问控制列表,用于过滤在同一VLAN内的二层流量。 3. **802.1X认证**:设置交换机端口启用IEEE 802.1X身份验证,确保只有经过认证的设备才能通过该端口接入网络。 4. **...
Packet Tracer使用教程深入详解附带pkt实验
09-19
Packet Tracer是一款强大的网络设计和模拟工具,由Cisco Systems开发,主要用于教育和培训领域,让学生和专业人士能够模拟、设计和构建网络拓扑。本教程将深入详解Packet Tracer的使用方法,并结合pkt实验,帮助你...
VLAN安全性配置与实现指南
资源摘要信息:"*.*.*.* Packet Tracer - Layer 2 VLAN Security" 在网络技术的学习和应用中,VLAN(Virtual Local Area Network,虚拟局域网)是一种重要的网络管理技术,它允许网络管理员通过软件手段将一个物理...
4.7.1: Packet Tracer 综合技巧练习
05-08
4.7.1: Packet Tracer 综合技巧练习
Packet Tracer5校园网络设计方案配置
10-28
Packet Tracer5 校园网络设计方案配置
Packet Tracer - Layer 2 Security
最新发布
YueXuan_521的博客
01-10 1340
Packet Tracer - Layer 2 Security Packet Tracer - 第二层安全配置任务 目标 确保将中心交换机(3560型号)设置为根桥。 保护生成树协议参数以防止对STP的操控攻击。 启用端口安全功能以防止CAM表溢出攻击。
Packet Tracer - 第 2 层安全
傻傻的心动的博客
05-11 2927
Packet Tracer - 第 2 层安全
Packet Tracer(第二期)--2VLAN间路由
朝游碧海的博客
04-07 8929
思科--2VLAN间路由S1交换机配置R1路由器配置 拓扑 地址分配表 VLAN 和端口分配表 场景 在本练习中,您将展示并强化实施 VLAN 间路由的能力,包括配置 IP 地址、VLAN、中继和子接口。 要求 根据地址分配表为 R1 和 S1 分配 IP 编址。 在 S1 上根据 VLAN 和端口分配表创建、命名并分配 VLAN。端口应处于接入模式。 将 S1 配置为 TRUNK,仅允许 ...
6.3.1.8 Packet Tracer - 探索网络互联设备-熟悉Packet Tracer模拟器
qq_44652559的博客
02-02 2961
6.3.1.8 Packet Tracer - 探索网络互联设备-熟悉Packet Tracer模拟器、探索网络互联设备网络拓扑和设备链接表实验过程1 哪些管理端口可用?2 East 路由器上有哪些 LAN 和 WAN 接口可用?分别有几个?3 输入show ip interface brief4 输入show interface gigabitethernet 0/0,默认带宽5 输入show interface serial 0/0/0,默认带宽6 确定交换机上的模块扩展槽。7 选择正确的模块进行连接8
划分vlan实验心得体会_【实战演练】Packet Tracer玩转CCNA实验02-VLAN基本配置
weixin_39761573的博客
12-15 1727
#本文欢迎转载,转载请注明出处和作者。一般教程第一课都讲交换机/路由器的操作系统(IOS)的基本操作,例如介绍普通模式、特权模式,修改密码等。我们反其道而行之,先动手做VLAN的划分操作,先讲实操,再说概念。1、实验1(配置vlan access):1.1搭建拓扑图实验需求:实验的拓扑如上图,PC1、PC2、PC3、PC4连接同一台交换机,PC1、PC3的人属于同一个部门(如销售部),PC2、PC...
二层安全的最佳推荐做法
繁星流动天际
04-02 200
二层安全的最佳推荐做法 >要使用安全的方式管理交换机,比如SSH协议、认证机制、访问列表、设置优先级别等。 >要限制交换机的管理访问,让那些位于不信任网络中的用户无法通过接口或者协议(比如SNMP)管理设备。 >为所有的trunk端口分配一个单独的VLAN ID。 >要有安全意识,不要用一个vlan 1 解决所有问题。 >要在所有非trunk端口上禁用DTP。 &gt...
packet tracer- vlan划分及vlan间通信
09-09
Packet Tracer是思科公司开发的一款网络模拟软件,可用于模拟各种网络设备和网络场景。在Packet Tracer中,我们可以使用VLAN划分来划分不同的网络,并在不同的VLAN之间进行通信。 VLAN代表虚拟局域网,是一种可以将一个局域网划分为多个逻辑上独立的局域网的技术。VLAN的划分通过在交换机上配置不同的VLAN ID来实现。每个VLAN有唯一的VLAN ID,它决定了属于该VLAN的设备组。在Packet Tracer中,我们可以创建不同的VLAN并将端口分配到相应的VLAN中。 要在不同的VLAN之间实现通信,我们需要使用网络层的路由器。在Packet Tracer中,我们可以在交换机上配置一个三层路由器(也称为多层交换机),它可以连接不同的VLAN,并允许它们之间的通信。为了实现VLAN间通信,我们需要进行以下步骤: 1. 创建VLAN:在交换机上创建不同的VLAN,并为每个VLAN分配一个唯一的VLAN ID。可以使用命令行界面或图形界面来完成此操作。 2. 配置端口:将交换机上的端口分配给相应的VLAN。可以将端口设置为access模式,表示该端口只属于一个VLAN,或者设置为trunk模式,可以传输多个VLAN之间的数据。 3. 配置路由器:将三层路由器连接到交换机,并为其配置适当的IP地址。通过在路由器上配置接口和子接口,可以实现不同VLAN之间的路由。 4. 配置路由:在路由器上配置适当的路由表来指定数据流经的路径。可以通过静态路由或动态路由协议来完成此操作。 5. 测试通信:配置完毕后,可以使用Packet Tracer提供的终端设备来测试不同VLAN之间的通信。可以通过Ping命令或访问网络应用程序来验证通信是否正常。 通过上述步骤,我们可以在Packet Tracer中划分VLAN,并实现VLAN之间的通信。这对于网络管理和资源隔离非常有帮助,可以提高网络的可靠性和安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

玥轩_521

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值