1.DCRS为接入交换机,为终端产生防止MAC地址防洪攻击,请配置端口安全,每个已划分VLAN的端口最多学习到20个MAC地址,发生违规阻止后续违规流量通过,不影响已有流量并产生LOG日志;连接PC1的接口为专用接口,限定只允许PC1的MAC地址可以连接;
DCRS(config)#mac-address-learning cpu-control
DCRS(config)#int ethernet 1/0/1-2
DCRS(config-if-port-range)#switchport port-security
DCRS(config-if-port-range)#switchport port-security maximum 20
DCRS(config-if-port-range)#switchport port-security violation restrict
DCRS(config-if-port-range)#int e1/0/6-9
DCRS(config-if-port-range)#switchport port-security
DCRS(config-if-port-range)#switchport port-security mac-address 00-FF-80-85-AC-4F
DCRS(config-if-port-range)#int e1/0/10-24
DCRS(config-if-port-range)#switchport port-security
DCRS(config-if-port-range)#switchport port-security violation restrict
- 命令说明
使能软件控制 mac 地址学习
mac-address-learning cpu-control
配置端口的port-security功能
switchport port-security
配置端口允许的最大安全MAC地址数
switchport port-security maximum <value> [vlan <vlan-list>]
最大值,或访问该端口的设备 MAC 地址不是这个 MAC 地址表中该端口的 MAC 地址,或同一个 VLAN 中一个 MAC 地址被配置在几个端口上时,就会引发违反 MAC 地址安全。
switchport port-security violation {protect | recovery | restrict | shutdown}
配置端口的静态安全 MAC
switchport port-security mac-address <mac-address>[vlan <vlan-id>]
2.将连接DCFW的双向流量镜像至Netlog进行监控和分析;
DCRS(config)#monitor session 1 source interface e1/0/2 tx
DCRS(config)#monitor session 1 source interface e1/0/2 rx
DCRS(config)#monitor session 1 destination interface eth1/0/4
- 命令说明
指定镜像源端口
monitor session <session> source {interface<interface-list>} {rx | tx | both}
指定镜像目的端口
monitor session <session> destination interface
3.开启防ARP扫描功能,单位时间内端口收到ARP数量超过50便认定是攻击,DOWN掉此端口;
DCRS(config)#anti-arpscan enable
DCRS(config)#anti-arpscan port-based threshold 50
DCRS(config)#int e1/0/1-2
DCRS(config-if-port-range)#anti-arpscan trust supertrust-port
- 命令说明
全局启动或关闭防 ARP 扫描功能
anti-arpscan enable [ip|port]
设置基于端口的防 ARP 扫描阈值
anti-arpscan port-based threshold <threshold-value>
设置端口的信任属性
anti-arpscan trust <port | supertrust-port | iptrust-port >
4.在公司总部的DCRS上配置端口环路检测(Loopback Detection),防止来自VLAN200接口下的单端口环路,并配置存在环路时的检测时间间隔为30 秒,不存在环路时的检测时间间隔为10秒;
DCRS(config)#loopback-detection interval-time 30 10
DCRS(config)#int e1/0/10-24
DCRS(config-if-port-range)#loopback-detection specified-vlan 200
DCRS(config-if-port-range)#loopback-detection control shutdown
- 命令说明
设置或恢复环路检测的时间间隔
loopback-detection interval-time <loopback> <no-loopback>
启动端口环路检测功能
loopback-detection specified-vlan <vlan-list>
打开端口的环路检测受控功能
loopback-detection control {shutdown | block| learning }
5.为了控制接入网络PC,需要在交换ETH1/0/10口开启DOT1X认证,配置认证服务器,IP地址是172.16.100.40,radius key是dcn2018;
DCRS(config)#radius-server authentication host 172.16.100.40 key dcn2018
DCRS(config)#aaa enable
DCRS(config)#int e1/0/10
DCRS(config-if-ethernet1/0/10)#dot1x enable
DCRS(config-if-ethernet1/0/10)#dot1x port-method portbased
- 命令说明
设置 RADIUS 认证服务器 IPv4 地址或者 IPv6 地址和监听端口号、加密密钥、是否为主用服务器以及使用模式
radius-server authentication host {<ipv4-address> | <ipv6-address>} [port <port-number>] [key {0 | 7} <string>] [primary] [access-mode {dot1x | telnet}]
使能交换机的 AAA 认证功能
aaa enable
使能交换机全局及端口的 802.1x 功能
dot1x enable
设置端口的接入控制方式
dot1x port-method {macbased | portbased | userbased {standard | advanced}}
6.交换机开启远程管理,使用SSH方式账号为DCN2018,密码为444444;
DCRS(config)#username DCN2018 privilege 15 password 0 444444
DCRS(config)#ssh-server enable
- 命令说明
配置 SSH 登录到交换机的本地用户名和口令
username <username> [privilege <privilege>] [password [0 | 7] <password>]
打开交换机的 SSH 服务器功能
ssh-server enable
7.VLAN20、VLAN30、VLAN10 用户采用动态获取IP地址方式,DHCP服务器在 AC上配置,前十个地址为保留地址,VLAN40用户也动态获取IP,DHCP server 为DCFW;
DCRS(config)#service dhcp
DCRS(config)#ip forward-protocol udp bootps
DCRS(config)#int vlan 10
DCRS(config-if-vlan10)#ip helper-address 10.0.0.6
DCRS(config-if-vlan10)#int vlan 20
DCRS(config-if-vlan20)#ip helper-address 10.0.0.6
DCRS(config-if-vlan20)#int vlan 30
DCRS(config-if-vlan30)#ip helper-address 10.0.0.6
DCRS(config-if-vlan30)#int vlan 40
DCRS(config-if-vlan40)#ip helper-address 10.0.0.1
- 命令说明
启动 DHCP 服务器或中继功能
service dhcp
中继转发 UDP 端口号为 67 的 DHCP 广播报文
ip forward-protocol udp bootps
指定 DHCP 中继转发的目标 IP 地址
ip helper-address <ipaddress>
8.在交换机上配置,在只允VLAN200用户在上班时间(周-到周五8:00到18:00)内访问VLAN100段IP;
DCRS(config)#time-range work
DCRS(config-time-range-work)#periodic weekdays 08:00:00 to 18:00:00
DCRS(config)#ip access-list extended work
DCRS(config-ip-ext-nacl-work)permit ip 172.16.100.0 0.0.0.255 192.168.100.0 00.0.0.255 time-range work
DCRS(config)#int e1/0/10-24
DCRS(config-if-port-range)#ip access-group work in
- 命令说明
创建一个名为 time_range_name 的时间范围名
time-range <time_range_name>
配置一周内的各种不同要求的时间范围,每周都循环这个时间
periodic{{Monday+Tuesday+Wednesday+Thursday+Friday+Saturday+ Sunday} | daily | weekdays | weekend} <start_time> to <end_time>
创建一条命名扩展 IP 访问列表
ip access-list extended <name>
配置允许通过IP时间范围
permit ip <start_ip> <end_ipip> time-range <name>
用于把目的受控使用的规则配置到端口上
ip access-group [ name | ip-list ] [ in | out ]
9.为拦截、防止非法的MAC地址与IP地址绑定的ARP数据包配置动态arp检测功能,VLAN30用户的ARP阀值为40;
DCRS(config)#int vlan 30
DCRS(config-if-vlan30)#ip arp dynamic maximum 40
- 命令说明
启动 VLAN 中 ARP 数量限制功能
ip arp dynamic maximum <value>
10.为了防止VLAN40网段arp欺骗,需要在交换机上开启ip dhcp snooping 并在接口下绑定用户;
DCRS(config)#ip dhcp snooping enable
DCRS(config)#ip dhcp snooping binding enable
DCRS(config)#int e1/0/1-2
DCRS(config-if-port-range)#ip dhcp snooping trust
DCRS(config-if-port-range)#int e1/0/6-9
DCRS(config-if-port-range)#ip dhcp snooping binding user-control
- 命令说明
开启 DHCP snooping 功能
ip dhcp snooping enable
开启 DHCP snooping 绑定功能
ip dhcp snooping binding enable
设置端口的 DHCP snooping 信任属性
ip dhcp snooping trust
开启 DHCP snooping 绑定 user 功能
ip dhcp snooping binding user-control
11.在DCRS上配置,配置设备enable密码,密码为dcn2018,并且在登录设备时必须正确输入enable密码才能进入交换机的配置模式;
DCRS(config)#enable password level 15 0 dcn2018
- 命令说明
配置设备enable密码
enable [password [level <level>] [0 | 7] <password>]
12.DCRS上配置,VLAN40的成员接口开启广播风暴抑制功能,参数设置为2400pps;
DCRS(config)#int e1/0/6-9
DCRS(config-if-port-range)#storm-control broadcast 2400
- 命令说明
打开交换机的广播风暴抑制(或组播、未知单播,下同)功能,并设置每秒允许通过的广播包数量
storm-control {unicast | broadcast | multicast} <packets>
3 条评论
文章的确不错啊https://www.cscnn.com/
怎么收藏这篇文章?
怎么收藏这篇文章?