Chương 8 – Giảm thiểu thất thoát Dịch vụ và Mất cắp dữ liệu trong mạng Campus

Bước 4: Bước 5: Dùng lệnh show để kiểm tra sự hoạt động của HSRP trên các Switch3 và Switch4.. Bước 6: Xóa cấu hình, khởi động lại thiết bị, hoàn trả lại thiết bị và hoàn tất bài lab.

Trang 1

Chương 8 - Giảm Thiểu Thất Thoát Dịch Vụ Và Mất Cắp Dữ Liệu Trong Mạng Campus

Bài 8.1 Cấu hình bảo mật cho swich và chống tấn công MAC flood 8.1.1 Sơ đồ uận ý

Hình 8.1.1-1: Hình vẽ sơ đồ luận lý 8.1.2 Mục tiêu của bài thực hành

Cấu hình bảo mật cho switch và cấu hình bảo mật cho các cổng kết nối các thiết bị

8.1.3 Hướng dẫn cấu hình và hình vẽ minh họa

Bước 1: Cấu hình cơ bản cho các Switch; cấu hình kết nối từ xa sử

dụng SSH với chứng thực local và kết nối console chứng thực local với username Pronet và passwod cisco123

Cấu hình cơ bản và kết nối từ xa sử dụng SSH trên SW2950_01

Switch(config)#hostname SW2950_01

SW2950_01(config)#enable secret cisco123

SW2950_01(config)#username Pronet password cisco123

SW2950_01(config)#ip domain-name pronet.com

SW2950_01(config)#crypto key generate rsa

SW2950_01(config)#ip ssh version 2

SW2950_01(config)#line vty 0 15

SW2950_01(config-line)#login local

SW2950_01(config-line)#exit

SW2950_01(config)#line console 0

Cấu hình cơ bản và kết nối từ xa sử dụng SSH trên SW2950_02

Trang 2

SW2950_02(config)#enable secret cisco123

SW2950_02(config)#username Pronet password cisco123

SW2950_02(config)#ip domain-name pronet.com

SW2950_02(config)#crypto key generate rsa

SW2950_02(config)#ip ssh version 2

SW2950_02(config)#line vty 0 15

SW2950_02(config)#line console 0

Bước 2: Cấu hình trunk cho các interface Fa0/1 và Fa0/2 trên các

Switch

Cấu hình interface trunk trên SW2950_01

SW2950_01(config)#interface range fastEthernet 0/1 - 2

SW2950_01(config-if-range)#switchport mode trunk

SW2950_01(config-if-range)#exit

Bước 3: Cấu hình VLAN trên các switch như sau: VLAN 10, 20, 30

và 40

Cấu hình VLAN trên SW2950_01

SW2950_01(config)#vlan 10

SW2950_01(config-vlan)#name VLAN10

SW2950_01(config-vlan)#vlan 20

Trang 3

Bước 4: Cấu hình port security với chế độ protect trên các switch để

chống tấn công MAC flood sử dụng dynamic với tối đa 5 địa chỉ MAC

Cấu hình port security trên SW2950_01

SW2950_01(config)#interface fa0/3 – 24

SW2950_01(config-if-range)#switchport mode access

SW2950_01(config-if-range)#switchport port-security

SW2950_01(config-if-range)#switchport port-security maximum 5

SW2950_01(config-if-range)#switchport port-security violation protect SW2950_01(config-if-range)#exit

Cấu hình port security trên SW2950_02

SW2950_02(config)#interface fa0/3 – 24

SW2950_02(config-if-range)#switchport mode access

SW2950_02(config-if-range)#switchport port-security

SW2950_02(config-if-range)#switchport port-security maximum 5

SW2950_02(config-if-range)#switchport port-security violation protect SW2950_02(config-if-range)#exit

Bước 5: Dùng lệnh show để kiểm tra sự hoạt động của port secure

trên các switch

Kiểm tra port security trên SW2950_01

Trang 4

Hình 8.1.3-1: Show port-security trên SW2950_01

Hình 8.1.3-2: Show mac-address-table trên SW2950_01

Trang 5

Kiểm tra port security trên SW2950_02

Hình 8.1.3-3: Show port-security và Show mac-address-table trên SW2950_02

Hình 8.1.3-4: Show mac-address-table trên SW2950_02

Bước 6: Xóa cấu hình, khởi động lại thiết bị, hoàn trả lại thiết bị và

hoàn tất bài lab

Trang 6

Bài 8.2 Bài 2: Cấu hình bảo mật chống DHCP spoofing

8.2.1 Sơ đồ uận ý

Cấu hình switch3 là DHCP server cho VLAN 20, cấu hình trên switch1 và switch2 cho phép các máy trạm nhận DHCP từ switch3

Bước 1: Cấu hình cơ bản cho các Switch

Cấu hình cơ bản cho SW2950_01

SW2950_01 (config)#enable password cisco

SW2950_01 (config)#no ip domain-lookup

SW2950_01 (config)#banner motd ^CSwitch 2950^C

SW2950_01 (config)#line console 0

SW2950_01 (config-line)# logging synchronous

SW2950_01 (config-line)# password cisco

SW2950_01 (config-line)# login

SW2950_01 (config)#line vty 0 4

Cấu hình cơ bản cho SW2950

Trang 7

Cấu hình cơ bản cho SW3560

Switch

SW3560(config)#interface range fastEthernet 0/1 - 2

SW3560(config-if-range)#switchport trunk encapsulation dot1Q

SW3560(config-if-range)#switchport mode trunk

Trang 8

và 40

SW3560_03 (config-vlan)#name VLAN10

SW3560_03 (config-vlan)#vlan 20

Bước 4: Cấu hình Switch3 là DHCP cho VLAN 20 với network

172.16.20.0/24

Bước 5: Cấu hình switch1 và switch2 cho phép các máy trạm nhận

DHCP từ switch3

Cấu hình trên SW2950_01

SW2950_01(config)#ip dhcp snooping

Trang 9

SW2950_01(config)#int fa0/2

SW2950_01(config-if)#ip dhcp snooping trust

SW2950_01(config-if)#exit

SW2950_01(config)#int range fa0/10 - 24

SW2950_01(config-if-range)#ip dhcp snooping limit rate 20

SW2950_01(config)#ip dhcp snooping vlan 20

SW2950_01(config)#exit

Cấu hình trên SW2950_02

SW2950_02(config)#ip dhcp snooping

SW2950_02(config)#interface fastEthernet 0/2

SW2950_02(config-if)#ip dhcp snooping trust

SW2950_02(config-if-range)#ip dhcp snooping limit rate 20

SW2950_02(config)#ip dhcp snooping 20

SW2950_02(config)#ip dhcp snooping vlan 20

Bước 6: Dùng lệnh show để kiểm tra sự cấu hình

Hình 8.2.3-1: Show ip dhcp snooping trên SW2950_01

Trang 10

Hình 8.2.3-2: Show ip dhcp snopping trên SW2950_02

Trang 11

Bài 8.3 Cấu hình bảo mật mạng ớp 2 ngăn chặn truy nhập trái

phép vào mạng sử dụng AAA và dot1x

8.3.1 Sơ đồ uận ý

Cấu hình switch2 khi các thiết bị truy nhập mạng yêu cầu chứng thực, nếu chứng thực thành công thì cho phép kết nối vào mạng

Bước 1: Cấu hình cơ bản cho các Switch

Trang 12

Switch

và 40

Trang 13

Bước 4: cấu hình chứng thực AAA local trên switch

SW2950_02(config)#username pronet password 0 cisco

SW2950_02(config)#aaa new-model

SW2950_02(config)#aa

SW2950_02(config)#aaa authentication dot1x default local

SW2950_02(config)#dot1x system-auth-control

Bước 5: cấu hình yêu cầu chứng thực trên cổng Fa0/6

SW2950_02(config)#interface fastEthernet 0/6

SW2950_02(config-if)#dot1x port-control auto

Bước 5: Dùng lệnh show để kiểm tra sự cấu hình và hoạt động của

cổng Fa0/6 trên Switch

Hình 8.3.3-1: Show dot1x interface trên SW2950_02

Trang 14

Bài 8.4 Bài 4: Securing VLANs with Private VLANs, RACLs, and

VACLs

8.4.1 Sơ đồ uận ý

8.4.2 Mục tiêu của bài thực hành

Cấu hình HSRP trên

Bước 1: Cấu hình cơ bản cho các Switch Bước 2: Cấu hình trunnk cho các interface Fa0/1 và Fa0/2 trên các

Switch

và 40

Bước 4:

Bước 5: Dùng lệnh show để kiểm tra sự hoạt động của HSRP trên

các Switch3 và Switch4

Trang 15

Bài 8.5 Bài 5: Securing Spanning Tree Protocol BPDU guard root guard Protect switchports from unidirectional l nks with UDLD 8.5.1 Sơ đồ uận ý

8.5.2 Mục tiêu của bài thực hành

Switch

và 40

Bước 4:

Trang 16

Bài 8.6 Bai nang cao: Voice and Security n a Switched Network - Case Study

8.6.1 Sơ đồ uận ý

8.6.2 Mục tiêu của bài thực hành:

8.6.3 Hướng dẫn:

Switch

và 40

Bước 4:

Trang 17

Bài 8.7 Bai nang cao: IP Service Level Agreements n a Campus Environment

8.7.1 Sơ đồ uận ý

8.7.2 Mục tiêu của bài thực hành:

8.7.3 Hướng dẫn:

Switch

và 40

Bước 4:

Định dạng
Số trang	17
Dung lượng	334,55 KB