- A+
1.ip规划表
2.设备初始化信息
1.总部核心交换机DCRS上开启SSH远程管理功能, 本地认证用户名:2019DCN,密码:DCN2011;
DCRS(config)#ssh-server enable
DCRS(config)#username 2019DCN privilege 15 password 0 DCN2011
2.总部启用MSTP协议,NAME为DCN2011、 Revision-level 1,实例1中包括VLAN10;实例2中包括VLAN20、要求两条链路负载分担,其中VLAN10业务数据在E1/0/4进行数据转发,要求VLAN20业务数据在E1/0/5进行数据转发,通过在DCWS两个端口设置COST值 2000000实现;配置DCRS连接终端接口立即进入转发模式且在收到BPDU时自动关闭端口;防止从DCWS方向的根桥抢占攻击;
DCRS(config)#spanning-tree
DCRS(config)#spanning-tree mode mstp
DCRS (config)#spanning-tree mst configuration //进入mst配置模式
DCRS (config-mstp-region)#name DCN2011
DCRS (config-mstp-region)#revision-level 1
DCRS (config-mstp-region)#instance 1 vlan 10
DCRS (config-mstp-region)#instance 2 vlan 20
DCRS-6028(config)#interface ethernet 1/0/4-5
DCRS-6028(config-if-port-range)#spanning-tree mst 1 rootguard
DCRS-6028(config-if-port-range)#spanning-tree mst 2 rootguard
DCRS-6028(config)#interface ethernet 1/0/7-12
DCRS-6028(config-if-port-range)#spanning-tree portfast bpduguard
AC:
DCWS-6028(config)#interface ethernet 1/0/4
DCWS-6028(config-if-ethernet1/0/4)#spanning-tree mst 1 cost 2000000
DCWS-6028(config)#interface ethernet 1/0/5
DCWS-6028(config-if-ethernet1/0/5)#spanning-tree mst 2 cost 2000000
3.尽可能加大总部核心交换机DCRS与防火墙DCFW之间的带宽;
CRS-6028(config)#interface ethernet 1/0/1
DCRS-6028(config-if-ethernet1/0/1)#port-group 1 mode on
DCRS-6028(config)#interface ethernet 1/0/2
DCRS-6028(config-if-ethernet1/0/2)#port-group 1 mode on
4.配置使总部VLAN10,30,40业务的用户访问INTERNET往返数据流都经过DCFW进行最严格的安全防护;
DCRS-6028(config)#ip access-list extended come
DCRS-6028(config-ip-ext-nacl-come)#permit ip any-source 172.16.10.0 0.0.0.255
DCRS-6028(config-ip-ext-nacl-come)#permit ip any-source 172.16.30.0 0.0.0.63
DCRS-6028(config-ip-ext-nacl-come)#permit ip any-source 172.16.40.0 0.0.0.255
DCRS-6028(config)#ip access-list extended go
DCRS-6028(config-ip-ext-nacl-go)#permit ip 172.16.10.0 0.0.0.255 any-destination
DCRS-6028(config-ip-ext-nacl-go)#permit ip 172.16.30.0 0.0.0.63 any-destination
DCRS-6028(config-ip-ext-nacl-go)#permit ip 172.16.40.0 0.0.0.255 any-destination
DCRS-6028(config)#class-map go
DCRS-6028(config-classmap-go)#match access-group go
DCRS-6028(config)#class-map come
DCRS-6028(config-classmap-come)#match access-group come DCWS-6028(config)#policy-map come
DCRS-6028(config-policymap-come-class-come)#set ip nexthop 10.0.0.1
DCRS-6028(config)#policy-map go
DCRS-6028(config-policymap-go-class-go)#set ip nexthop 10.0.0.1
5.总部核心交换机DCRS上实现VLAN40业务内部终端相互二层隔离,启用环路检测,环路检测的时间间隔为10s,发现环路以后关闭该端口,恢复时间为30分钟;
DCRS-6028(config)#vlan 40
DCRS-6028(config-vlan40)#isolate-port group vlan40 switchport interface ethernet 1/0/10-12
DCRS-6028(config)#isolate-port apply l2//二层隔离
DCRS-6028(config-cp)##captive-portal
loopback-detection specified-vlan 40 //启动环路检测
DCRS (config)#loopback-detection interval-time 10 3
(10s 存在环路检测时间间隔 3s 不存在环路检测的时间间隔)
DCRS-6028(config)#interface ethernet 1/0/10-12
DCRS (config-if-port-range)#loopback-detection control shutdown(发现环路检测关闭该端口)
DCRS (config)#loopback-detection control-recovery timeout 1800 ?
(发现环路检测30分钟后恢复)
6.总部核心交换机DCRS检测到 VLAN40中私设DHCP服务器关闭该端口;
DCRS (config)#ip dhcp snooping enable //开启
DCRS(config)#interface ethernet 1/0/10-12
DCRS(config-if-port-range)#ip dhcp snooping action shutdown
7.总部核心交换机DCRS开启某项功能,防止VLAN40下ARP欺骗攻击;
DCRS-6028(config)#interface ethernet 1/0/10-12 DCWS-6028(config-if-port-range)#arp-guard ip 192.168.40.1
8.总部核心交换机DCRS上实现访问控制,在E1/0/14端口上配置MAC地址为00-03-0f-00-00-01的主机不能访问MAC地址为00-00-00-00-00-ff的主机;
DCRS-6028(config)#mac-access-list extended mac
DCRS-6028(config-mac-ext-nacl-mac)#deny host-source-mac 00-03-0f-00-00-01 host-destination-mac 00-00-00-00-00-ff
9.2017年勒索蠕虫病毒席卷全球,爆发了堪称史上最大规模的网络攻击,通过对总部核心交换机DCRS所有业务VLAN下配置访问控制策略实现双向安全防护;
DCRS-6028(config)#ip access-list extended dyan01
DCRS-6028(config-ip-ext-nacl-dyan01)#deny tcp any-source any-destination d-port 135
DCRS-6028(config-ip-ext-nacl-dyan01)#deny udp any-source any-destination d-port 135
DCRS-6028(config-ip-ext-nacl-dyan01)#deny tcp any-source any-destination d-port 137-139
DCRS-6028(config-ip-ext-nacl-dyan01)#deny udp any-source any-destination d-port 137-139
DCRS-6028(config-ip-ext-nacl-dyan01)#deny tcp any-source any-destination d-port 445
DCRS-6028(config-ip-ext-nacl-dyan01)#deny udp any-source any-destination d-port 445
10.总部部署了一套网管系统实现对核心DCRS交换机进行管理,网管系统IP为:172.16.100.21,读团体值为:DCN2011,版本为V2C,交换机DCRS Trap信息实时上报网管,当MAC地址发生变化时,也要立即通知网管发生的变化,每35s发送一次;
DCRS-6028(config)#snmp-server enable//开启snmp
DCRS-6028(config)#snmp-server securityip enable
DCRS-6028(config)# snmp-server securityip 172.16.100.21//设置安全ip
DCRS-6028(config)#snmp-server community ro dcn2011 //设置读团体字符
DCRS-6028(config)#snmp-server enable traps
DCRS-6028(config)#snmp-server host 172.16.100.21 v2c dcn2011
DCRS-6028(config)#snmp-server enable traps mac-notification
DCRS-6028(config)#mac-address-learning cpu-control
DCRS-6028(config)#mac-address-table notification
DCRS-6028(config)#mac-address-table notification interval 35
11.总部核心交换机DCRS出口往返流量发送给DCBI,由DCBI对收到的数据进行用户所要求的分析;
DCRS(config)#monitor session 1 source interface 1/0/24 both
// source:镜像端口
DCRS(config)#monitor session 1 destination interface 1/0/3
// destination:镜像目的端口
- 我的微信
- 这是我的微信扫一扫
- 我的微信公众号
- 我的微信公众号扫一扫
2021年6月7日 上午10:27 沙发
RS使用相关VPN技术,模拟
INTERNET ,VPN名称为INTERNET地址为218.5.18.2;,大佬能教教怎么做嘛
2021年12月28日 下午4:01 1层
@清十一 评分标准跟作者的不太一样,可能最终实现的功能是一致的