Packet Tracer - 第 2 层安全

news2024/11/13 9:37:13

Packet Tracer - 第 2 层安全

目标

· 将 Central 交换机指定为根网桥。

·         保护生成树参数的安全,以防止 STP 恶意操纵 攻击。

·         启用端口安全以防御 CAM 表泛洪攻击。

拓扑图

背景/ 场景

最近网络遭到了一些 攻击。出于此原因,网络管理员向您分配了 配置第 2 层安全的任务。

为实现最佳性能和安全性,管理员 希望确保根网桥为 3560 Central 交换机。为 防止生成树恶意操纵攻击,管理员希望确保 STP 参数是安全的。为防止 CAM 表溢出攻击, 网络管理员决定配置端口安全,以限制 每个交换机端口可以获知的 MAC 地址数量。如果 MAC 地址数量超过设置限制,管理员希望 关闭端口。

已使用 以下信息对所有交换机设备进行了预配置:

o    启用 密码:ciscoenpa55

o    控制台 密码:ciscoconpa55

o    SSH 用户名和密码:SSHadmin/ciscosshpa55

第 1 部分:配置根 网桥

步骤 1:确定 当前根网桥。

从 Central 交换机,发出 show spanning-tree 命令,以确定当前根网桥,查看使用的端口 及其状态。

Central#show spanning-tree

 

VLAN0001

Spanning tree enabled protocol ieee

Root ID Priority 32769

Address 0009.7C61.9058

Cost 4

Port 25(GigabitEthernet0/1)

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)

Address 00D0.D31C.634C

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Aging Time 20

Interface Role Sts Cost Prio.Nbr Type

---------------- ---- --- --------- -------- --------------------------------

Gi0/1 Root FWD 4 128.25 P2p

Gi0/2 Desg FWD 4 128.26 P2p

Fa0/1 Desg FWD 19 128.1 P2p

Central#

哪个交换机是当前的根网桥?

当前根目录为 SW-1。

根据当前的根桥, 生成树是什么?(绘制生成树拓扑。)

步骤 2:指定 Central 作为主要根网桥。

使用 spanning-tree vlan 1 root primary 命令,将 Central 指定为根网桥。

Central(config)#spanning-tree vlan 1 root primary

步骤 3:指定 SW-1 作为次根网桥

使用 spanning-tree 命令,将 SW-1指定为次根网桥。

SW-1(config)#spanning-tree vlan 1 root secondary

步骤 4:验证 生成树的配置。

发出 show spanning-tree 命令,验证 Central 是根网桥。

Central# show spanning-tree

VLAN0001

   Spanning tree enabled protocol ieee

   Root ID  Priority      24577

            Address       00D0.D31C.634C

            This bridge is the root

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

哪个交换机是当前的根网桥?

当前根是中

根据新的根网桥, 生成树是什么?(绘制生成树拓扑。)

第 2 部分:抵御 STP 攻击

保护 STP 参数的安全以防止 STP 操纵 攻击。

步骤 1:在所有接入端口上启用 PortFast。

在连接 单个工作站或服务器的接入端口上配置 PortFast,这使上述端口能够更快切换为活动状态。在 SW-A 和 SW-B 上的 连接接入端口上,使用 spanning-tree portfast 命令。

SW-A(config)#interface range f0/1-4

SW-A(config-if-range)#spanning-tree portfast

SW-B(config)#interface range f0/1-4

SW-B(config-if-range)#spanning-tree portfast

步骤 2:在所有接入端口上启用 BPDU 防护。

BPDU 防护功能有助于防止接入端口上出现非法 交换机和欺骗操作。在 SW-A 和 SW-B 接入端口上启用 BPDU 防护。

注意:在接口配置模式下使用 spanning-tree bpduguard enable 命令,或在 全局配置模式下使用 spanning-tree portfast bpduguard default 命令,即可在 各个端口上启用生成树 BPDU 防护。为了便于对本练习进行评分, 请使用 spanning-tree bpduguard enable 命令。

SW-A(config)#interface range f0/1-4

SW-A(config-if-range)#spanning-tree bpduguard enable

SW-B(config)#interface range f0/1-4

SW-B(config-if-range)#spanning-tree bpduguard enable

步骤 3:启用根 防护。

可以在交换机上并非 根端口的所有端口上启用根防护。最好将根防护部署在连接其他非根 交换机的端口上。使用 show spanning-tree 命令确定各交换机上 根端口的位置。

在 SW-1 上,在端口 F0/23 和 F0/24 上启用根防护。 在 SW-2 上,在端口 F0/23 和 F0/24 上启用根防护。

SW-1(config)#interface range f0/23 - 24

SW-1(config-if-range)# spanning-tree guard root

SW-2(config)#interface range f0/23 - 24

SW-2(config-if-range)# spanning-tree guard root

第 3 部分:配置 端口安全并禁用未使用的端口

步骤 1:在连接到主机的所有端口上配置 基本端口安全。

应对 SW-A 和 SW-B 上的所有接入端口执行此操作程序。将获知的 MAC 地址的最大数量设置为 2, 允许动态获知 MAC 地址,并将违规操作设置为关闭

SW-A(config)#interface range f0/1 - 22

SW-A(config-if-range)#switchport mode access

SW-A(config-if-range)#switchport port-security

SW-A(config-if-range)#switchport port-security maximum 2

SW-A(config-if-range)#switchport port-security violation shutdown

SW-A(config-if-range)#switchport port-security mac-address sticky

SW-B(config)#interface range f0/1-22

SW-B(config-if-range)#switchport mode access

SW-B(config-if-range)#switchport port-security max

SW-B(config-if-range)#switchport port-security maximum 2

SW-B(config-if-range)#switchport port-security violation shutdown

SW-B(config-if-range)#switchport port-security mac-address sticky

注意:交换机端口必须配置为接入 端口,才能启用端口安全功能。

为什么在连接 到其他交换机设备的端口上没有启用端口安全?

连接到其他交换机设备的端口具有为该单个端口学习的大量 MAC 地址。
限制可在这些端口上获知的 MAC 地址数量会显著影响网络功能。

步骤 2:验证端口 安全。

a.     在 SW-A 上,发出命令 show port-security interface f0/1 以验证是否配置了端口安全。

SW-A# show port-security interface f0/1

Port Security              : Enabled

Port Status                : Secure-up

Violation Mode             : Shutdown

Aging Time                 : 0 mins

过期 类型 : Absolute

SecureStatic Address Aging : Disabled

Maximum MAC Addresses      : 2

Total MAC Addresses        : 0

Configured MAC Addresses   : 0

Sticky MAC Addresses       : 0

Last Source Address:Vlan   : 0000.0000.0000:0

Security Violation Count   : 0

b.     从 C1 对 C2 执行 ping 操作,并再次发出命令 show port-security interface f0/1 以验证该交换机是否获知了 C1 的 MAC 地址。

 

 

步骤 3:禁用 未使用的端口。

禁用当前未使用的所有端口。

SW-A(config)#interface range f0/5 - 22

SW-A(config-if-range)#shutdown

SW-B(config)#interface range f0/5 - 22

SW-B(config-if-range)#shutdown

步骤 4:检查 结果。

完成比例应为 100%。点击 Check Results(检查结果)以查看反馈并验证已完成的所需 组件。

实验具体步骤:

Central

Central#conf

Configuring from terminal, memory, or network [terminal]?

Enter configuration commands, one per line. End with CNTL/Z.

Central(config)#spanning-tree vlan 1 root primary

Central(config)#end

Central#

SW-1

SW-1>en

Password:ciscoenpa55

SW-1#conf

Configuring from terminal, memory, or network [terminal]?

Enter configuration commands, one per line. End with CNTL/Z.

SW-1(config)#spanning-tree vlan 1 root secondary

SW-1(config)#interface range f0/23 - 24

SW-1(config-if-range)# spanning-tree guard root

SW-1(config-if-range)#end

SW-1#

SW-2:

SW-2>en

Password:ciscoenpa55

SW-2#conf t

Enter configuration commands, one per line. End with CNTL/Z.

SW-2(config)#interface range f0/23 - 24

SW-2(config-if-range)#spanning-tree guard root

SW-2(config-if-range)#end

SW-2#

SW-A:

SW-A>en

Password: ciscoenpa55

SW-A#conf t

Enter configuration commands, one per line. End with CNTL/Z.

SW-A(config)#int

SW-A(config)#interface r

SW-A(config)#interface range f0/1-4

SW-A(config-if-range)#spanning-tree bpduguard enable

SW-A(config-if-range)#spanning-tree portfast

SW-A(config-if-range)#exit

SW-A(config)#interface range f0/1 - 22

SW-A(config-if-range)#switchport mode access

SW-A(config-if-range)#switchport port-security

SW-A(config-if-range)#switchport port-security maximum 2

SW-A(config-if-range)#switchport port-security violation shutdown

SW-A(config-if-range)#switchport port-security mac-address sticky

SW-A(config-if-range)#exit

SW-A(config)#interface range f0/5 - 22

SW-A(config-if-range)#shutdown

SW-A(config-if-range)#end

SW-A#wr

Building configuration...

[OK]

SW-A#

SW-B:

SW-B>en

Password: ciscoenpa55

SW-B#conf t

Enter configuration commands, one per line. End with CNTL/Z.

SW-B(config)#interface range f0/1-4

SW-B(config-if-range)#spanning-tree bpduguard enable

SW-B(config-if-range)#spanning-tree portfast

SW-B(config-if-range)#exit

SW-B(config)#interface range f0/1-22

SW-B(config-if-range)#switchport mode access

SW-B(config-if-range)#switchport port-security

SW-B(config-if-range)#switchport port-security maximum 2

SW-B(config-if-range)#switchport port-security violation shutdown

SW-B(config-if-range)#switchport port-security mac-address sticky

SW-B(config-if-range)#exit

SW-B(config)#interface range f0/5 - 22

SW-B(config-if-range)#shutdown

SW-B(config-if-range)#end

SW-B#wr

Building configuration...

[OK]

SW-B#

实验链接:https://pan.baidu.com/s/1mALCOrNikB4_B9Lylc_tfQ?pwd=6312

提取码:6312

--来自百度网盘超级会员V2的分享

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/512436.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

2022年平均工资揭晓!2022年IT行业平均工资超高!最赚钱的行业是......IT! 看看最赚钱的职位是什么?

2022年平均工资发布!最赚钱的行业是…IT 文章目录 2022年平均工资发布!最赚钱的行业是......IT2022年城镇非私营单位就业人员年平均工资按区域、行业门类、登记注册类型分组的城镇非私营单位就业人员年平均工资: 附注:2022年城镇私…

为AIGC敲响警钟!千亿级赛道为何成了作恶温床?

‍数据智能产业创新服务媒体 ——聚焦数智 改变商业 随着人工智能通用大模型的问世,全球对AIGC技术的强大潜力有了更加深刻的认识。然而,这也引发了诸多关于AIGC技术可信度、隐私保护以及知识产权等问题的争议,引起了广泛关注。 5月9日&…

Windows安装两个MySQL【5.7 + 8.0】

目录 1、下载MySQL82、解压、放置3、配置3-1 添加环境变量3-2 配置文件 my.ini3-3 配置 MySQL 服务3-4 root 通过IP访问 4、连接 ✨ 已安装 MySQL5,再加装MySQL8 1、下载MySQL8 https://dev.mysql.com/downloads/mysql/ MySQL :: Download MySQL Community Server…

VScode 中运行C++,并用g++命令、CMake、配置launch.josn和tasks.json来运行和调试可执行文件

前期安装准备 安装VScode、cmake、mingw32 (具体版本如下) VSCodeUserSetup-x64-1.78.0.exe cmake-3.26.3-windows-x86_64.msi x86_64-8.1.0-release-posix-seh-rt_v6-rev0.7z 将这几个的bin目录加入系统环境变量(右击此电脑&#xff0c…

Java基础之ConcurrentHashMap答非所问

ConcurrentHashMap的数据结构是什么? ConcurrentHashMap仅仅是HashMap的线程安全版本,针对HashMap的线程安全优化,所以HashMap有的特点ConcurrentHashMap同意具有, ConcurrentHashMap的数据结构跟HashMap是一样的。 在JDK7版本使用…

中学理化生实验室建设及配置要求

中学理化生实验室是中学阶段进行物理、化学、生物教学和研究的场所。其可以满足实验教学要求,实验室提供必要的仪器、设备、工具、材料等课程资源,方便学生熟悉并接触一些实验仪器设备,学习掌握基本实验技能。同时,实验室科学合理的方案配置&…

MySQL原理(十):主从架构

前言 上一篇介绍了 MySQL 的表分区和分库分表,这一篇将介绍主从架构相关的内容。 主从架构 常见的主从架构模式有四种: 一主多从架构:适用于读大于写的场景,采用多个从库来分担数据库系统的读压力。多主架构:适用于…

康希诺生物:新冠疫苗影响当期业绩,毛利润减少89.92%

来源;猛兽财经 作者:猛兽财经 猛兽财经获悉,由于4月28日,康希诺生物(06185)发布2023年一季度报告,收入同比下滑及利润端亏损,主要由于新冠疫苗需求量同比大幅下降,以及产品价格调整…

在 IDEA 中创建 Java Web 项目的方式(详细步骤教程)

开发环境 以下是我的开发环境 JDK 1.8Maven 3.6.3Tomcat 9.0IDEA 2019(2019 无所畏惧,即使现在已经 2023 年了哈哈哈) 最原始的 Java Web 项目 下面的内容可能会因 IDEA 版本不同,而有些选项不同,但是大同小异。 …

【上进小菜猪】使用Ambari提高Hadoop集群管理和开发效率:提高大数据应用部署和管理效率的利器

📬📬我是上进小菜猪,沈工大软件工程专业,爱好敲代码,持续输出干货,欢迎关注。 介绍 Hadoop是一种开源的分布式处理框架,用于在一组低成本硬件的集群上存储和处理大规模数据集。Ambari是一种基…

python 获取cookie的方法

在 Web应用程序中,用户访问网站时,通常会请求访问服务器上保存的一些用户信息(例如: Cookie),这些信息包含了用户的一些个人信息,比如:姓名、地址、密码等。对于用户来说&#xff0c…

目标检测YOLO实战应用案例100讲-基于YOLOv3的目标检测研究及改进(论文篇)

知识拓展 多尺度特征学习 目前深度学习用于目标检测已经习以为常。从SSD到Yolo系列,其中: 深层网络的感受野比较大,语义信息表征能力强,但是特征图的分辨率低,几何信息的表征能力弱(空间几何特征细节缺乏); 低层网络的感受野比较小,几何细节信息表征能力强,虽然分辨…

国漫画江湖之不良人6真的封神!

国漫画江湖之不良人6真的封神! 今天不良人第六季大结局,真的超好看,不仅剧情完整,而且还非常甜,看的非常爽,时长直接拉到40分钟,打斗场面刺激,简直是语言形容不出来的爽&#xff01…

[PyTorch]Onnx模型格式的转换与应用

相较于PyTorch默认的模型存储格式pth而言,onnx具有多端通用,方便部署的优点(据称能加快推理速度,但是未验证),本文将介绍如何使用onnx并将原有的pth权重转换为onnx。 一、配置环境 在控制台中使用如下指令 …

【wordpress】管理员忘记密码? 三种方法找回

随着近年来网络攻击日趋频繁,我们在网站中所设置的各种密码也变得越来越复杂,wordpress现在也可以生成非常复杂的密码,以防止被暴力破解。 但这些复杂的密码一般是无法记住的,我们会将此存放在我们的记事本中 如果我们的记事本遗…

Linux--install and uninstall app

1. deb系列(Ubuntu为例) 1.2 mysql 参考链接 1.2.1 Install 1.2.1.1 方法一 #1.更新仓库 sudo apt update #2.安装库中mysql版本 sudo apt install mysql-server -y1.2.1.2 方法二 mysql官网下载 #1.下载指定版本 #2.装载该版本至系统仓库 sudo …

【加解密篇】利用HashCat破解RAR压缩包加密文件详细教程

【加解密篇】利用HashCat破解RAR压缩包加密文件详细教程 在取证知识里挖呀挖呀挖—【蘇小沐】 文章目录 【加解密篇】利用HashCat破解RAR压缩包加密文件详细教程1.实验环境2.RAR加密压缩包 (一)john软件1.使用CMD命令: run\rar2john.exe &am…

WGCNA | 不止一个组的WGCNA怎么分析嘞!?~(二)(共识网络分析-第二步-构建网络与模块-一步法)

1写在前面 最近遇到了非常不讲理的病人和家属,真是忍不住想要吐槽两句。😤 为了让病人做上手术,求了输血科半天才给备了血,家属也答应去献血。😒 万万没想到,术后都2天了还是没去献血,无论是问病…

达索系统助力中车制造运营管理(MOM)平台建设

案例背景: 中国中车股份有限公司(中文简称“中国中车”,英文简称缩写“CRRC”)承继了中国北车股份有限公司、中国南车股份有限公司的全部业务和资产,是全球规模领先、品种齐全、技术一流的轨道交通装备供应商。 中国…

MySQL---10、详细的数据类型

1、MySQL中的数据类型 类型类型举例整数类型TINYINT、SMALLINT、MEDIUMINT、INT(或INTEGER)、BIGINT浮点类型FLOAT、DOUBLE定点数类型DECIMAL位类型BIT日期时间类型YEAR、TIME、DATE、DATETIME、TIMESTAMP文本字符串类型CHAR、VACHAR、TINYTEXT、TEXT、MEDIUMTEXT、LONGTEXT枚…