第9園區(qū)全功能的和部署_第1頁
第9園區(qū)全功能的和部署_第2頁
第9園區(qū)全功能的和部署_第3頁
第9園區(qū)全功能的和部署_第4頁
第9園區(qū)全功能的和部署_第5頁
已閱讀5頁,還剩30頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、;/;9.2.1、擴(kuò)展ACL 過濾的和;/;9.2.1、擴(kuò)展ACL 過濾的和9.2.1.1、交換機(jī)的 ACL 過濾下例的配置顯示如何在交換機(jī)上創(chuàng)建一條擴(kuò)展 ACL,名字為,并將這應(yīng)Switch#configureSwitch(config)#ips-listextended9.2.1.1、交換機(jī)的 ACL 過濾下例的配置顯示如何在交換機(jī)上創(chuàng)建一條擴(kuò)展 ACL,名字為,并將這應(yīng)Switch#configureSwitch(config)#ips-listextendedSwitch(config-ext-nacl)#permitipanyerfacefastEthernetSwitch(conf

2、ig-if)#ips-group任意一條擴(kuò)展 ACL 的最后都默認(rèn)隱含了一條 deny any any 的 ACE表項(xiàng)。如果您不想符合其它所有 ACE 匹配條件的報(bào)文通過;在有些應(yīng)用中還會(huì)用到上述的一些端口,比如 TCP/UDP 的 137、138,此時(shí)就要將這些端口從擴(kuò)展 ACL 中去掉;9.2.1.2、路由器的 ACL 過濾ACL下例的配置顯示如何在路由器上創(chuàng)建一條擴(kuò)展 ACL,名字為 100,并將這條 ACL 應(yīng)用到NBR# s-s-Switch(config-ext-nacl)#permitipanyerfacefastEthernetSwitch(config-if)#ips-gro

3、up任意一條擴(kuò)展 ACL 的最后都默認(rèn)隱含了一條 deny any any 的 ACE表項(xiàng)。如果您不想符合其它所有 ACE 匹配條件的報(bào)文通過;在有些應(yīng)用中還會(huì)用到上述的一些端口,比如 TCP/UDP 的 137、138,此時(shí)就要將這些端口從擴(kuò)展 ACL 中去掉;9.2.1.2、路由器的 ACL 過濾ACL下例的配置顯示如何在路由器上創(chuàng)建一條擴(kuò)展 ACL,名字為 100,并將這條 ACL 應(yīng)用到NBR# s-s-s-s-s-s-s-s-s-s-s-s-s-s-s-s-s-s-s-s-s-s-s-s-permitipanyerfacefastEthernets-group100s-groups-

4、s-s-s-s-s-s-s-s-s-s-s-s-s-s-s-s-s-permitipanyerfacefastEthernets-group100s-group1009.2.2、STP 的 BPDU 報(bào)文防衛(wèi)和過濾: 這2個(gè)功能;同時(shí),為了減少端口等待forwarding的 這2個(gè)功能;同時(shí),為了減少端口等待forwarding的過程,可以設(shè)置該端口為Port Fast注意:在配置BPDU Filter/Guard和Port Fast時(shí),一定要開啟STP協(xié)議,這樣才會(huì)生效Switch#configureerfacerangefastEthernet0/1-bpdufilterbpduguard

5、9.2.3、三層設(shè)備的 IP 防掃描攻主攻主下例顯示如何在三層交換機(jī)上配置 IP 防掃描的步驟:下例顯示如何在三層交換機(jī)上配置 IP 防掃描的步驟:Switch#configureSwitch(config)#system-guarddetect-maxnumerfacefastEthernetscan-ip-attack-packetssame-ip-attack-packetsisolate-timeSwitch#showsystem-detect: isolated: eisolatetime same-attack-pkts scan-attack-9.2.4、防ARP 的工作模式:9

6、.2.4、防ARP 的工作模式:ARP 協(xié)議的缺陷:;強(qiáng)烈建議在所有接入交換機(jī)的下聯(lián)端口配置防 !下例顯示的是如何在 S21 交換機(jī)的所有端口上配置防 ,網(wǎng)關(guān)地址是Switch#configureerfacerangefastEthernet0/1- ;強(qiáng)烈建議在所有接入交換機(jī)的下聯(lián)端口配置防 !下例顯示的是如何在 S21 交換機(jī)的所有端口上配置防 ,網(wǎng)關(guān)地址是Switch#configureerfacerangefastEthernet0/1- 防9.3.1、防 9.3.1、防 。下例顯示的是合法 DHCP 服務(wù)器地址為 192.168.0250端聯(lián)在交換機(jī)的 0/1-端口DHCP 服務(wù)器聯(lián)

7、在交換機(jī)的 0/24 端口,如何防范 的配置:Switch#configureSwitch(config)#serviceSwitch(config)#iphelper-addressSwitch(config)#ip下例顯示的是合法 DHCP 服務(wù)器地址為 192.168.0250端聯(lián)在交換機(jī)的 0/1-端口DHCP 服務(wù)器聯(lián)在交換機(jī)的 0/24 端口,如何防范 的配置:Switch#configureSwitch(config)#serviceSwitch(config)#iphelper-addressSwitch(config)#ips-listextendeddhcp-Switch(

8、config-ext-nacl)#denyudpanyeq67anyeqSwitch(config-ext-nacl)#permitipanySwitch(config)#ips-listextendeddhcp-Switch(config-ext-nacl)#permitudphost192.168.0.250Switch(config-ext-nacl)#denyudpanyeq67anyeqSwitch(config-ext-nacl)#permitipanyerfacerangefastEthernet0/1- s-groupdhcp-erfacefastEthernetSwitch(

9、config-if)#ips-groupdhcp-serverSwitch#shipExtendedIPslist:dhcp-denyudpanyeqbootpsanyeqpermitipany ExtendedIPslist:dhcp-permitudphost192.168.0.250eqbootpsanyeqdenyudpanyeqbootpspermitipany ips-dhcp-dhcp-dhcp-9.3.2、端denyudpanyeqbootpspermitipany ips-dhcp-dhcp-dhcp-9.3.2、端口安全:置為 置為 s;下例顯示在 S21 交換機(jī)上作端口安

10、全的操作步驟:在 fastethernet 0/11, ;下例顯示在 S21 交換機(jī)上作端口安全的操作步驟:在 fastethernet 0/11, 在 fastethernet 0/4 口上, 綁定 MAC 地址為 00d0.f80b.1234IP 地址為Switch#configureerfacefastEthernetmode sport-port-umport-securityviolation支持綁定IP地址的最大值備 1234erfacefastEthernetmode sport-port-mac-addressport-violationerfacefastEthernetmo

11、de sport-port-ip-addressport-violationerfacefastEthernetmode sport-mac-addressport-port-SecurityerfacefastEthernetmode sport-port-mac-addressport-violationerfacefastEthernetmode sport-port-ip-addressport-violationerfacefastEthernetmode sport-mac-addressport-port-Security10111port-Vlan MacIP Remainin

12、g1-1-1-9.3.3、組播源端口檢查下例顯示在 S21 交換機(jī)上配置 為 IVGL模式1-1-1-9.3.3、組播源端口檢查下例顯示在 S21 交換機(jī)上配置 為 IVGL模式 fastethernet Switch#configurevlan1erfacefastEthernetsource-checkSwitch#shipIgmp-:SVGL vlan-:1SVGL :0Source :Query max:Switch#sheIGMP1s09.3.4IP 管理絡(luò)、IDS/IPS)Igmp-:SVGL vlan-:1SVGL :0Source :Query max:Switch#sheIG

13、MP1s09.3.4IP 管理絡(luò)、IDS/IPS)的下例顯示在交換機(jī)上配置net或Web方式管理交換機(jī)的合法用的下例顯示在交換機(jī)上配置net或Web方式管理交換機(jī)的合法用戶地址Switch#configurewebhostwebhosthosthostSwitch#showrunning-Systemsoftware: BuildJun292006BuildingCurrentconfiguration:190!webhostwebhostnethostnethost!webhostwebhostnethostnethostvlan !9.4.1、案例拓?fù)?.4.2、案例說明9.4.2.1、拓

14、撲說明9.4.1、案例拓?fù)?.4.2、案例說明9.4.2.1、拓?fù)湔f明MSTP9.4.2.2、安全規(guī)劃:DHCPServer;DHCPServer;9.4.3、案例配置VLAN-VLAN 名稱19.4.2.2、安全規(guī)劃:DHCPServer;DHCPServer;9.4.3、案例配置VLAN-VLAN 名稱19.4.3.1SC1配置Systemsoftware:Building!14ip algorithm!webhostwebhostnethostnethost1!name !vlan name !ip s-extended9.4.3.1SC1配置Systemsoftware:Buildin

15、g!14ip algorithm!webhostwebhostnethostnethost1!name !vlan name !ip s-extendedeqbootps anyeqpermitipany !ips-listextendeddhcp-permitudphost196.2.2.250eqeqbootps anyeqpermitipany !ips-listextendeddhcp-permitudphost196.2.2.250eqeqbootps eq permitipany !enablesecret1 5 enablesecret155.VtE,1u3qu&-!spanni

16、ng-tree0priority erfaceFastEthernetswitchportsvlanspanning-treebpdufilterspanning-treebpduguardsystem-guardips-groupnt!erfaceFastEthernetswitchportsvlan spanning-bpdufilterspanning-bpduguardsystem-guardips-groupnt!erfaceGigabitEthernetswitchportsvlan spanning-bpdufilterspanning-treebpduguardsystem-g

17、uardips-groupnt!erfaceFastEthernetswitchportsvlan spanning-bpdufilterspanning-bpduguardsystem-guardips-groupnt!erfaceGigabitEthernetswitchportsvlan spanning-bpdufilterspanning-bpduguardsystem-guardips-groupnt!erfaceGigabitEthernetswitchportsvlan spanning-bpdufilterspanning-bpduguardsystem-guardips-g

18、roupnt!erfaceGigabitEthernetdescriptionLink-to-DHCPswitchportsvlanspanning-treebpdufilterspanning-treebpduguardsystem-guardips-groupdhcp-server!erfaceGigabitEthernetmedium-typestorm-controlstorm-controlswitchportmodeswitchporttrunkspanning-treebpdufilterspanning-treebpduguardsystem-guardips-groupdhc

19、p-server!erfaceGigabitEthernetmedium-typestorm-controlstorm-controlswitchportmodeswitchporttrunkallowedvlansystem-guardstorm-controlmulticastppsstorm-controlbroadcastpps!erfaceGigabitEthernetmedium-typestorm-controlstorm-controlswitchportmodeswitchporttrunkallowedvlansystem-guardstorm-multicastppsst

20、orm-broadcastpps!erface1descriptionipaddress192.168.166.3standby1ipstandby1priorityip !erfaceVlandescriptionip 196.2.2.248ip priorityip !erfacedescriptionip 192.0.0.24810ip 10priorityip !standby1priorityip !erfaceVlandescriptionip 196.2.2.248ip priorityip !erfacedescriptionip 192.0.0.24810ip 10prior

21、ityip !snmp-communitybannerlogin!ipmulticast-9.4.3.2、匯聚層 配置略9.4.3.3、接入層 配置Systemsoftware: BuildJun 292006BuildingCurrentconfiguration:6385!webhostwebhostnethostnethostvlan name!vlan name !vlan name !ip s-extendedBuildingCurrentconfiguration:6385!webhostwebhostnethostnethostvlan name!vlan name !vlan

22、name !ip s-extendeddenytcpany anyeqdenyudpanyeq bootpsanyeqpermitipany !ips-listextendeddhcp-permitudphost196.2.2.250eqdenytcpany anyeqdenyudpanyeq bootpsanyeqpermitipany !ips-listextendeddhcp-permitudphost196.2.2.250eqeqbootps eq permitipany !enablesecretlevel15$2/7R:H3,1u_;C,4-enablesecretlevel155

23、$2bcknA37zyglow4-!service iphelper-addressspanning-ipigmpprofile !erfacefastEthernetswitchportsvlan spanning-treebpdufilterspanning-treebpduguardswitchportport-ips-groupnt!erfacefastEthernetswitchportsvlan spanning-bpdufilterspanning-bpduguardswitchportport-ips-groupnt!erfacefastEthernetdescriptions

24、witchportsvlan spanning-treebpduguardswitchportport-ips-groupnt!erfacefastEthernetswitchportsvlan spanning-bpdufilterspanning-bpduguardswitchportport-ips-groupnt!erfacefastEthernetdescriptionswitchportsvlan spanning-bpdufilterspanning-bpduguardswitchportport-switchportport-securitymac-addressips-gro

25、upnt!erfacefastEthernetdescriptionswitchportsvlan spanning-bpdufilterspanning-bpduguardswitchportport-switchportport-securitymac-000d.5655.6ea2ip-addressips-groupnt!erfacefastEthernetdescriptionlinkswitchportsvlan spanning-bpdufilterspanning-bpduguardswitchportport-switchportport-securitymac-ip-ips-

26、groupnt!erfacefastEthernetdescriptionlinkswitchportsvlan spanning-bpdufilterspanning-bpduguardswitchportport-ips-groupnt!erfacefastEthernetdescriptionerfacefastEthernetdescriptionlinkswitchportsvlan spanning-bpdufilterspanning-bpduguardswitchportport-switchportport-securitymac-ip-ips-groupnt!erfacef

27、astEthernetdescriptionlinkswitchportsvlan spanning-bpdufilterspanning-bpduguardswitchportport-ips-groupnt!erfacefastEthernetdescriptionlinkswitchportsvlan spanning-bpdufilterspanning-bpduguardport-port-ip-port-ip-port-ip-port-ip-port-ip-port-ip-port-ip-switchportport-securitymac-ip-switchportport-se

28、curitymac-ip-ips-groupnt!erfacefastEthernetdescriptionswitchportsvlan spanning-bpdufilterspanning-bpduguardswitchportport-switchportport-securitymac-ip-ips-groupnt!erfaceswitchportport-securitymac-ip-switchportport-securitymac-ip-ips-groupnt!erfacefastEthernetdescriptionswitchportsvlan spanning-bpdu

29、filterspanning-bpduguardswitchportport-switchportport-securitymac-ip-ips-groupnt!erfacefastEthernetdescriptionswitchportsvlan spanning-bpdufilterspanning-bpduguardswitchportport-switchportport-securitymac-ip-ips-groupnt!erfacefastEthernetswitchportsvlan spanning-bpdufilterspanning-bpduguardswitchportport

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論