Packet Tracer - Layer 2 VLAN Security

news2024/11/15 20:47:21

Packet Tracer - 第二层VLAN安全配置任务

在这里插入图片描述

目标

  • 在SW-1和SW-2之间建立新的冗余链路。
  • 在新连接的SW-1和SW-2之间的干线链路上启用中继并配置安全措施。
  • 创建一个新的管理VLAN(VLAN 20)并将一台管理PC连接到该VLAN。
  • 实施ACL以防止外部用户访问管理VLAN。

背景/场景

一家公司的网络当前使用两个独立的VLAN:VLAN 5和VLAN 10。此外,所有干线端口都已配置为本征VLAN 15。网络管理员希望在交换机SW-1和SW-2之间添加一条冗余链路。这条链路必须启用中继功能,并确保所有必要的安全设置到位。

此外,网络管理员还希望将一台管理PC连接到交换机SW-A。管理员希望这台管理PC能够连接到所有交换机及路由器,但不希望任何其他设备能够连接到管理PC或这些交换机上。因此,管理员计划创建一个新的VLAN 20用于管理目的。

所有设备已经预先配置了以下信息:

  • 启用密码:ciscoenpa55
  • 控制台密码:ciscoconpa55
  • SSH用户名及密码:SSHadmin / ciscosshpa55

第一部分:验证连通性

步骤1:验证C2(VLAN 10)与C3(VLAN 10)之间的连通性。

在这里插入图片描述
在这里插入图片描述

步骤2:验证C2(VLAN 10)与D1(VLAN 5)之间的连通性。
注:如果使用简易PDU GUI包,请确保ping两次以允许ARP过程完成。

在这里插入图片描述
在这里插入图片描述

第二部分:在SW-1和SW-2之间创建冗余链路

步骤1:连接SW-1和SW-2。

使用交叉线缆将SW-1的F0/23端口与SW-2的F0/23端口相连。
在这里插入图片描述

步骤2:在SW-1和SW-2之间的链路上启用干线功能,包括所有干线安全机制。

已预先配置了所有现存干线接口的干线功能。新链接必须设置为干线,并包括所有干线安全机制。在SW-1和SW-2上,将端口设置为干线模式,将本征VLAN 15分配给干线端口,并禁用自动协商功能。

SW-1(config)#interface f0/23
SW-1(config-if)#switchport mode trunk
SW-1(config-if)#switchport trunk native vlan 15
SW-1(config-if)#switchport nonegotiate
SW-1(config-if)#no shutdown

SW-2(config)#interface f0/23
SW-2(config-if)#switchport mode trunk
SW-2(config-if)#switchport trunk native vlan 15
SW-2(config-if)#switchport nonegotiate
SW-2(config-if)#no shutdown

第三部分:启用VLAN 20作为管理VLAN

网络管理员希望通过管理PC访问所有交换机和路由设备。出于安全原因,管理员希望确保所有受管设备都在一个独立的VLAN中。

步骤1:在SW-A上启用管理VLAN(VLAN 20)。

a. 在SW-A上启用VLAN 20。

SW-A(config)#vlan 20
SW-A(config-vlan)#exit

b. 创建VLAN 20接口并在192.168.20.0/24网络内分配一个IP地址。

SW-A(config)#interface vlan 20
SW-A(config-if)#ip address 192.168.20.1 255.255.255.0

步骤2:在所有其他交换机上启用相同的管理VLAN。

a. 在SW-B、SW-1、SW-2和中央交换机上创建管理VLAN。

Central(config)#vlan 20
Central(config-vlan)#exit

SW-1(config)#vlan 20
SW-1(config-vlan)#exit

SW-2(config)#vlan 20
SW-2(config-vlan)#exit

SW-B(config)#vlan 20
SW-B(config-vlan)#exit

b. 在所有交换机上创建VLAN 20接口,并在192.168.20.0/24网络内分配一个IP地址。

Central(config)#int vlan 20
Central(config-if)#ip address 192.168.20.2 255.255.255.0

SW-1(config)#int vlan 20
SW-1(config-if)#ip address 192.168.20.3 255.255.255.0

SW-2(config)#int vlan 20
SW-2(config-if)#ip address 192.168.20.4 255.255.255.0

SW-B(config)#int vlan 20
SW-B(config-if)#ip address 192.168.20.5 255.255.255.0

步骤3:连接并配置管理PC。

将管理PC连接到SW-A的F0/1端口,并确保为其分配192.168.20.0/24网络内的可用IP地址。

在这里插入图片描述

在这里插入图片描述

步骤4:在SW-A上确保管理PC属于VLAN 20。

接口F0/1必须是VLAN 20的一部分。

SW-A(config)#int f0/1
SW-A(config-if)#switchport access vlan 20
SW-A(config-if)#no shutdown

步骤5:验证管理PC与所有交换机之间的连通性

管理PC应能成功ping通SW-A、SW-B、SW-1、SW-2和中央交换机。

请添加图片描述
请添加图片描述

第四部分:使管理PC能够访问路由器R1

步骤1:在路由器R1上启用新的子接口。

a. 创建子接口g0/0.3,并设置封装类型为dot1q 20,以便支持VLAN 20。

R1(config)#int g0/0.3
R1(config-subif)#encapsulation dot1Q 20

b. 分配192.168.20.0/24网络内的IP地址。

R1(config)#int g0/0.3
R1(config-subif)#ip address 192.168.20.100 255.255.255.0

步骤2:验证管理PC与R1之间的连通性。

务必在管理PC上配置默认网关以实现连通性。

步骤3:启用安全性。

虽然管理PC必须能够访问路由器,但其他任何PC都不应能够访问管理VLAN。

a. 创建只允许管理PC访问路由器的ACL。

R1(config)#access-list 101 deny ip any 192.168.20.0 0.0.0.255
R1(config)#access-list 101 permit ip any any
R1(config)#access-list 102 permit ip host 192.168.20.6 any

b. 将ACL应用到适当的接口上。

R1(config)#int g0/0.1
R1(config-subif)#ip access-group 101 in
R1(config-subif)#int g0/0.2
R1(config-subif)#ip access-group 101 in

R1(config)#line vty 0 4
R1(config-line)#access-class 102 in

注:可以有多种方式创建ACL来满足必要的安全要求。因此,该活动这一部分的评分基于正确的连通性需求。管理PC必须能够连接到所有交换机和路由器,而所有其他PC则不能连接到管理VLAN内的任何设备。

步骤4:验证安全性。

a. 验证只有管理PC可以访问路由器。使用SSH从管理PC通过用户名SSHadmin和密码ciscosshpa55登录R1。

PC> ssh -l SSHadmin 192.168.20.100

在这里插入图片描述

b. 从管理PC尝试ping SW-A、SW-B和R1,是否成功?请解释结果。
在这里插入图片描述

VLAN20 中的设备不需要通过路由器进行路由,不受ACL的影响。

c. 从D1尝试ping管理PC,是否成功?请解释结果。
在这里插入图片描述

不同 VLAN 中的设备 ping VLAN20 中的设备,必须进行路由,而路由器具有阻止所有数据包访问 192.168.20.0 目标网络的 ACL。

步骤5:检查结果。

您的完成度应该为100%。点击“检查结果”查看反馈信息以及已完成的必要组件验证。

如果所有组件都看似正确,但活动仍显示未完成,则可能是由于验证ACL操作的连通性测试出现问题。

实验脚本:

Part 2:

SW-1、SW-2

连接SW-1、SW-2,使用交叉线路,要开端口
连接SW-A、PC,要开端口
interface f0/23
switchport mode trunk
switchport trunk native vlan 15
switchport nonegotiate
no shutdown

Part 3:

SW-A:

int f0/1
switchport access vlan 20
no shutdown

SW-1:

int f0/23
switchport trunk native vlan 15
switchport mode trunk 
switchport nonegotiate

SW-2:

int f0/23
switchport trunk native vlan 15
switchport mode trunk 
switchport nonegotiate

SW-A、B、1、2、Central:

vlan 20
int vlan 20
ip address 192.168.20.XXX 255.255.255.0

Part 4:

R1:

int g0/0.3
encapsulation dot1Q 20
ip address 192.168.20.20 255.255.255.0

R1:

access-list 101 deny ip any 192.168.20.0 255.255.255.0
access-list 101 permit ip any any 
access-list 102 permit ip host 192.168.20.6 any 

int g0/0.1
ip access-group 101 in 

int g0/0.2
ip access-group 101 in 

line vty 0 4
access-class 102 in

PC:

ssh -l SSHadmin 192.168.20.20

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1391064.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【全】OpenSSL创建生成CA证书、服务器、客户端证书及密钥说明

本文章对应的文档:使用OpenSSL创建生成CA证书服务器客户端证书及密钥资源-CSDN文库 https://download.csdn.net/download/weixin_41885845/88746920 对于SSL单向认证 服务器需要CA证书、server证书、server私钥,客户端需要CA证。 对于SSL双向认证 服务器需要CA证书、serv…

前端下载文件流,设置返回值类型responseType:‘blob‘无效的问题

前言: 本是一个非常简单的请求,即是下载文件。通常的做法如下: 1.前端通过Vue Axios向后端请求,同时在请求中设置响应体为Blob格式。 2.后端相应前端的请求,同时返回Blob格式的文件给到前端(如果没有步骤…

48 分布式id的生成策略

1.UUID 1.UUID (Universally Unique Identifier),通用唯一识别码。UUID是基于当前时间、计数器(counter)和硬件标识(通常为无线网卡的MAC地址)等数据计算生成的。UUID由以下几部分的组合: 1.当前日期和时…

如何在内存中绘制透明位图

如何在内存中绘制透明位图 如何绘制透明位图?这类文章网上有很多,都是同一个套路,当然也包括我这篇! 不同的是,我重新整理了代码,见“ysouyno/t_transparent_memory_dc”。同时附上完整的工程“t-transpa…

leetcode82. 删除排序链表中的重复元素 II

文章目录 题目思路1复杂度Code2 思路2复杂度2Code2 题目 给定一个已排序的链表的头 head , 删除原始链表中所有重复数字的节点,只留下不同的数字 。返回 已排序的链表 。 示例 1: 输入:head [1,2,3,3,4,4,5] 输出:…

已实现:JS如何根据视频的http(s)地址,来截取帧图片,并实现大图压缩的功能

现在&#xff0c;我们已经有了视频的http地址&#xff0c;我们怎么截取帧图片呢&#xff1f;我以Vue为基础架构&#xff0c;来写写代码。 1、先写布局&#xff0c;先得有video&#xff0c;然后得有canvas <video id"videoPlay" style"width: 100%; height:1…

23号资源——电力系统程序集合已提供下载资源

23号资源&#xff1a;程序集合包含9个程序&#xff08;经典电力系统经济调度程序&#xff1b;2解决带储&#xff1b;3智能微电网PSO优化算法&#xff1b;微电网调度等等&#xff0c;见资源描述&#xff09;资源-CSDN文库https://download.csdn.net/download/LIANG674027206/887…

VC++中使用OpenCV对原图像中的四边形区域做透视变换

VC中使用OpenCV对原图像中的四边形区域做透视变换 最近闲着跟着油管博主murtazahassan&#xff0c;学习了一下LEARN OPENCV C in 4 HOURS | Including 3x Projects | Computer Vision&#xff0c;对应的Github源代码地址为&#xff1a;Learn-OpenCV-cpp-in-4-Hours 视频里面讲…

【计算机网络】第七,八,九章摘要重点

第七章网络管理 1.计算机网络面临的两大威胁&#xff1f; 恶意程序有&#xff1a;计算机病毒&#xff0c;计算机蠕虫&#xff0c;特洛伊木马&#xff0c;逻辑炸弹&#xff0c;后门入侵和流氓软件。 2.安全的计算机网络四个目标&#xff1a; 机密性&#xff0c;端点鉴别&…

VMware虚拟机自定义网段及物理机ping不通虚拟机问题解决

Vmware网络介绍&#x1f6dc; VMware虚拟机提供了几种网络模式&#xff0c;其中包括桥接模式&#xff08;Bridged Mode&#xff09;、NAT模式&#xff08;Network Address Translation Mode&#xff09;和仅主机模式&#xff08;Host-Only Mode&#xff09;。这些模式允许虚拟…

如何在亚马逊 SageMaker 进行 Stable Diffusion 模型在线服务部署

文章目录 前言 - 浅谈 AIGCAIGC - 引领人工智能走向春天春天里盛开的 AI 绘画AI 绘画之Stable Diffusion 2.0 登场人人都有机会成为前沿的技术探索者 基于Amazon SageMaker进行Stable Diffusion 模型部署认识 Amazon SageMaker借助 Amazon SageMaker 进行环境搭建和模型推理1. …

go语言初探(一)

package mainimport ("fmt""time" )func main() {fmt.Print("hello go!")time.Sleep(1 * time.Second)}运行后&#xff0c;结果如下&#xff1a; 1、golang表达式中&#xff0c;加&#xff1b;和不加&#xff1b;都可以 2、函数的{和函数名一…

【前端架构】前端通用架构

一个强大的前端通用架构应该具备多种能力&#xff0c;以支持现代化的应用程序开发和提高开发效率。以下是一些前端通用架构应该具备的关键能力&#xff1a; 模块化和组件化&#xff1a;支持模块化开发和组件化架构&#xff0c;能够将应用拆分为独立的模块和组件&#xff0c;以便…

逻辑回归(解决分类问题)

定义&#xff1a;逻辑回归是一种用于解决分类问题的统计学习方法。它通过对数据进行建模&#xff0c;预测一个事件发生的概率。逻辑回归通常用于二元分类问题&#xff0c;即将数据分为两个类别。它基于线性回归模型&#xff0c;但使用了逻辑函数&#xff08;也称为S形函数&…

【动态规划】【C++算法】639 解码方法 II

作者推荐 【矩阵快速幂】封装类及测试用例及样例 涉及知识点 动态规划 字符串 滚动向量 LeetCode 639. 解码方法 II 一条包含字母 A-Z 的消息通过以下的方式进行了 编码 &#xff1a; ‘A’ -> “1” ‘B’ -> “2” … ‘Z’ -> “26” 要 解码 一条已编码的消息…

【VTKExamples::PolyData】第四期 DijkstraGraphGeodesicPath

很高兴在雪易的CSDN遇见你 VTK技术爱好者 QQ:870202403 前言 本文分享VTK样例DijkstraGraphGeodesicPath,希望对各位小伙伴有所帮助! 感谢各位小伙伴的点赞+关注,小易会继续努力分享,一起进步! 你的点赞就是我的动力(^U^)ノ~YO 1. DijkstraGraphGeodesicPath /…

element plus 可选择树形组件(el-tree) 怎样一键展开/收起?实现方法详解

实现代码&#xff1a; 按钮&#xff1a; <el-button click"takeall" style"height: 24px">{{zhanstatus % 2 ! 0 ? "收起所有" : "展开所有"}} </el-button> 组件&#xff1a; <el-form-item label"可选择菜单…

Kafka系列(四)

本文接kafka三&#xff0c;代码实践kafkaStream的应用&#xff0c;用来完成流式计算。 kafkastream 关于流式计算也就是实时处理&#xff0c;无时间概念边界的处理一些数据。想要更有性价比地和java程序进行结合&#xff0c;因此了解了kafka。但是本人阅读了kafka地官网&#…

32单片机RTC时间接续,掉电时间保存

1、实现思路 前提&#xff1a;首先要实现RTC掉电之后时间还能继续走&#xff0c;RTC电池是必要的 说明&#xff1a;设备第一次启动需要初始化配置RTC&#xff0c;但当二次启动再重新配置RTC会导致RTC计数器置零&#xff0c;所以传统的程序流程是不行的&#xff0c;我们需要知…

苹果最新系统iOS 17的调试和适配方法 - Xcode 14.3.1 真机调试指南

最近苹果发布了iOS 17作为其最新操作系统版本&#xff0c;作为开发者&#xff0c;你可能需要了解如何在Xcode 14.3.1中进行真机调试和适配。本文将为你详细介绍步骤和注意事项。 I. 检查Xcode版本 在开始之前&#xff0c;确保你已经安装了Xcode 14.3.1或更高版本。你可以在Xco…