Packet Tracer - 第 2 层 VLAN 安全

news2024/11/25 11:01:13

Packet Tracer - 第 2 层 VLAN 安全

目标

·         在 SW-1 和 SW-2 之间连接新的冗余链路。

·         启用中继,并在 SW-1 和 SW-2 之间的新中继链路上 配置安全。

·         创建新的管理 VLAN (VLAN 20) 并将管理 PC 连接到 该 VLAN。

·         实施 ACL 以阻止外部用户访问 管理 VLAN。

拓扑图

 

背景/ 场景

目前,公司的网络使用两个 独立的 VLAN 进行设置:VLAN 5 和 VLAN 10。此外,使用本征 VLAN 15 配置 所有中继端口。网络管理员想要在 交换机 SW-1 和 SW-2 之间添加冗余链路。链路必须启用中继,并且所有 安全要求应实施到位。

此外,网络管理员想要将 管理 PC 连接到交换机 SW-A。管理员想要让 管理 PC 连接到所有交换机和路由器,但不想任何 其他设备连接到管理 PC 或交换机。出于管理目的, 管理员想要创建新的 VLAN 20。

所有设备都已采用以下信息进行预配置:

o    启用 加密密码:ciscoenpa55

o    控制台 密码:ciscoconpa55

o    SSH 用户名和密码:SSHadmin/ciscosshpa55

第 1 部分:验证 连接。

步骤 1:验证 C2 (VLAN 10) 和 C3 (VLAN 10) 之间的连接。

 

 

步骤 2:验证 C2 (VLAN 10) 和 D1 (VLAN 5) 之间的连接。

 

 

注意:如果使用简单的 PDU GUI 数据包,请确保执行 ping 操作两次以允许进行 ARP。

第 2 部分:创建 SW-1 和 SW-2 之间的冗余链路

步骤 1:连接 SW-1 和 SW-2。

使用交叉电缆,将 SW-1 上的端口 F0/23 连接到 SW-2 上的端口 F0/23。

 

步骤 2:启用中继,包括 SW-1 和 SW-2 之间的链路上的所有中继安全 机制。

已在所有现有 中继接口上配置了中继。必须为中继配置新的链路,包括所有 中继安全机制。在 SW-1 和 SW-2 上,将端口设置为 中继,将本征 VLAN 15 分配给中继端口,并禁用自动协商功能。

SW-1(config)#interface f0/23

SW-1(config-if)#switchport mode trunk

SW-1(config-if)#switchport trunk native vlan 15

SW-1(config-if)#switchport nonegotiate

SW-1(config-if)#no shutdown

SW-2(config)#interface f0/23

SW-2(config-if)#switchport mode trunk

SW-2(config-if)#switchport trunk native vlan 15

SW-2(config-if)#switchport nonegotiate

SW-2(config-if)#no shutdown

第 3 部分:启用 VLAN 20 作为管理 VLAN

网络管理员想要使用管理 PC 访问所有交换机和 路由设备。出于安全考虑,管理员 想要确保所有托管设备均位于单独的 VLAN 上。

步骤 1:在 SW-A 上启用管理 VLAN (VLAN 20)。

1.   在 SW-A 上启用 VLAN 20。

SW-A(config)#vlan 20

SW-A(config-vlan)#exit

2.     创建接口 VLAN 20 并分配 192.168.20.0/24 网络中的一个 IP 地址。

SW-A(config)#interface vlan 20

SW-A(config-if)#

%LINK-5-CHANGED: Interface Vlan20, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up

SW-A(config-if)#ip address 192.168.20.1 255.255.255.0

步骤 2:在所有其他 交换机上启用同一个管理 VLAN。

1.     在以下所有交换机上创建管理 VLAN:SW-BSW-1SW-2 和 Central

SW-B(config)#vlan 20

SW-B(config-vlan)#exit

SW-1(config)#vlan 20

SW-1(config-vlan)#exit

SW-2(config)#vlan 20

SW-2(config-vlan)#exit

Central(config)#vlan 20

Central(config-vlan)#exit

2.    在所有交换机上创建接口 VLAN 20 并分配 192.168.20.0/24 网络中 的一个 IP 地址。

SW-B(config)#interface vlan 20

SW-B(config-if)#ip address 192.168.20.2 255.255.255.0

SW-1(config)#interface vlan 20

SW-1(config-if)#ip address 192.168.20.3 255.255.255.0

SW-2(config)#interface vlan 20

SW-2(config-if)#ip address 192.168.20.4 255.255.255.0

Central(config)#interface vlan 20

Central(config-if)#ip address 192.168.20.5 255.255.255.0

步骤 3:连接并配置管理 PC。

将管理 PC 连接到 SW-A 端口 F0/1 ,并确保向其分配了 192.168.20.0/24 网络中的可用 IP 地址。

 

步骤 4:在 SW-A 上,确保管理 PC 是 VLAN 20 的组成部分。

接口 F0/1 必须是 VLAN 20 的一部分。

SW-A(config)#interface f0/1

SW-A(config-if)#switchport access vlan 20

SW-A(config-if)#no shutdown

步骤 5:验证管理 PC 与所有 交换机的连接。

管理 PC 应能 ping 通 SW-ASW-B、 SW-1SW-2 和 Central

 

 

 

第 4 部分:启用 管理 PC 以访问路由器 R1

步骤 1:在路由器 R1 上启用新的子接口。

1.  创建子接口 g0/0.3 并将封装设置为 dot1q 20 以 用于 VLAN 20。

R1(config)#interface g0/0.3

R1(config-subif)#encapsulation dot1q 20

2.   分配 192.168.20.0/24 网络中的一个 IP 地址。

R1(config)#interface g0/0.3

R1(config-subif)#ip address 192.168.20.100 255.255.255.0

步骤 2:验证管理 PC 和 R1 之间的连接。

务必在管理 PC 上配置默认网关以允许连接。

步骤 3:启用安全性。

虽然管理 PC 必须能够访问路由器, 但是其他 PC 不能访问管理 VLAN。

1.     创建一个只允许管理 PC 访问路由器的 ACL。

R1(config)#access-list 101 deny ip any 192.168.20.0 0.0.0.255

R1(config)# access-list 101 permit ip any any

R1(config)#access-list 102 permit ip host 192.168.20.6 any

2.     将该 ACL 应用到正确的接口。

R1(config)#interface g0/0.1

R1(config-subif)#ip access-group 101 in

R1(config-subif)#interface g0/0.2

R1(config-subif)#ip access-group 101 in

R1(config-subif)#line vty 0 4

R1(config-line)#access-class 102 in

注意:可以通过多种方式创建 ACL 以实现必要的安全性。因此,对此练习的 这一部分进行评分时基于正确的连接要求。 管理 PC 必须能够连接到所有交换机和路由器。所有 其他 PC 都不能连接到管理 VLAN 中的任何设备。

步骤 4:验证安全。

a.     验证只有管理 PC 可访问路由器。使用 SSH 访问 R1 ,使用用户名 SSHadmin 和密码 ciscosshpa55

PC> ssh -l SSHadmin 192.168.20.100

 

  1.      从管理 PC ping 通 SW-ASW-B 和 R1。 ping 操作是否成功?说明原因。

 

ping 应该已成功,因为 192.168.20.0 网络中的所有设备都应该能够相互 ping 操作。VLAN20 中的设备不需要通过路由器进行路由。

2.   从 D1 ping 通管理 PC。ping 操作是否成功? 说明原因。

 

 

 

 

ping 应该失败,因为要使不同 VLAN 中的设备成功 ping VLAN20 中的设备,必须对其进行路由。路由器具有阻止所有数据包访问 192.168.20.0 网络的 ACL

步骤 5:检查结果。

完成比例应为 100%。点击 Check Results(检查结果)以查看反馈并验证已完成的所需组件。

如果所有组件似乎都是正确的,但练习 仍显示未完成,则可能是由于验证 ACL 工作原理的连接测试 造成的。

实验具体步骤:

SW-1:

SW-1>en

Password:

SW-1#conf t

Enter configuration commands, one per line. End with CNTL/Z.

SW-1(config)#interface f0/23

SW-1(config-if)#switchport mode trunk

SW-1(config-if)#switchport trunk native vlan 15

SW-1(config-if)#switchport nonegotiate

SW-1(config-if)#no shutdown



%LINK-5-CHANGED: Interface FastEthernet0/23, changed state to down

SW-1(config-if)#exit

SW-1(config)#vlan 20

SW-1(config-vlan)#exit

SW-1(config)#interface vlan 20

SW-1(config-if)#

%LINK-5-CHANGED: Interface Vlan20, changed state to up



%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up



SW-1(config-if)#ip address 192.168.20.3 255.255.255.0

SW-1(config-if)#exit

SW-1(config)#end

SW-1#

%SYS-5-CONFIG_I: Configured from console by console



SW-1#wr

Building configuration...

[OK]

SW-1#

SW-2:

SW-2>en

Password:

SW-2#conf t

Enter configuration commands, one per line. End with CNTL/Z.

SW-2(config)#interface f0/23

SW-2(config-if)#switchport mode trunk

SW-2(config-if)#switchport trunk native vlan 15

SW-2(config-if)#switchport nonegotiate

SW-2(config-if)#no shutdown



%LINK-5-CHANGED: Interface FastEthernet0/23, changed state to down

SW-2(config-if)#exit

SW-2(config)#vlan 20

SW-2(config-vlan)#exit

SW-2(config)#interface vlan 20

SW-2(config-if)#

%LINK-5-CHANGED: Interface Vlan20, changed state to up



%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up



SW-2(config-if)#ip address 192.168.20.4 255.255.255.0

SW-2(config-if)#exit

SW-2(config)#end

SW-2#

%SYS-5-CONFIG_I: Configured from console by console



SW-2#wr

Building configuration...

[OK]

SW-2#

SW-A:

SW-A>en

Password:

SW-A#conf t

Enter configuration commands, one per line. End with CNTL/Z.

SW-A(config)#interface f0/1

SW-A(config-if)#switchport access vlan 20

SW-A(config-if)#no shutdown

SW-A(config-if)#

%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up



%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up



SW-A(config-if)#exit

SW-A(config)#end

SW-A#

%SYS-5-CONFIG_I: Configured from console by console



SW-A#wr

Building configuration...

[OK]

SW-A#

SW-B:

SW-B>en

Password:

SW-B#conf t

Enter configuration commands, one per line. End with CNTL/Z.

SW-B(config)#vlan 20

SW-B(config-vlan)#exit

SW-B(config)#interface vlan 20

SW-B(config-if)#

%LINK-5-CHANGED: Interface Vlan20, changed state to up



%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up



SW-B(config-if)#ip address 192.168.20.2 255.255.255.0

SW-B(config-if)#exit

SW-B(config)#end

SW-B#

%SYS-5-CONFIG_I: Configured from console by console



SW-B#wr

Building configuration...

[OK]

SW-B#

Central:

Central>en

Password:

Central#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Central(config)#vlan 20

Central(config-vlan)#exit

Central(config)#interface vlan 20

Central(config-if)#

%LINK-5-CHANGED: Interface Vlan20, changed state to up



%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up



Central(config-if)#ip address 192.168.20.5 255.255.255.0

Central(config-if)#exit

Central(config)#end

Central#

%SYS-5-CONFIG_I: Configured from console by console



Central#wr

Building configuration...

[OK]

Central#

R1:

R1>en

Password:

R1#conf t

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)#interface g0/0.3

R1(config-subif)#

%LINK-5-CHANGED: Interface GigabitEthernet0/0.3, changed state to up



%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0.3, changed state to up



R1(config-subif)#encapsulation dot1q 20

R1(config-subif)#ip address 192.168.20.100 255.255.255.0

R1(config-subif)#exit

R1(config)#access-list 101 deny ip any 192.168.20.0 0.0.0.255

R1(config)# access-list 101 permit ip any any

R1(config)#access-list 102 permit ip host 192.168.20.6 any

R1(config)#interface g0/0.1

R1(config-subif)#ip access-group 101 in

R1(config-subif)#interface g0/0.2

R1(config-subif)#ip access-group 101 in

R1(config-subif)#line vty 0 4

R1(config-line)#access-class 102 in

R1(config-line)#exit

R1(config)#end

R1l#

%SYS-5-CONFIG_I: Configured from console by console



R1#wr

Building configuration...

[OK]

R1#

实验链接:https://pan.baidu.com/s/1FaSOwXenBEfxN3SX-0Rw4w?pwd=6313

提取码:6313

--来自百度网盘超级会员V2的分享

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/513942.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Java学习-GUI编程-JFrame窗口

Java学习-GUI编程-JFrame窗口 public class TestJFrame {public void init(){JFrame jf new JFrame("这是一个JFream窗口");jf.setVisible(true);jf.setBounds(100,100,400,400);JLabel label new JLabel("这是一个label");label.setHorizontalAlignmen…

Linux之shell函数和正则表达式(八)

1、函数 1、函数概述 shell 中允许将一组命令集合成语句形成一段可用代码,这些代码块称为 shell 函数,给这段代码起个名字称为函数名,后续可以直接调用该段代码的功能 2、定义函数 函数名() {函数体(一堆命令的集合&#xff0…

程序员的下一个风口

面对近一年的裁员潮,以及 GPT 出现带来的 AI 颠覆潮流,各种话题出现:「前端已死」、「后端已死」、「Copy/Paste 程序员将被 AI 取代」。程序员行业是否还有发展空间? 这一两年的就业机会是因为经济衰落周期内造成的,不…

pmp备考有哪些适合新手的学习资料?

在备考中,无论你是胸有成竹的学霸还是忐忑不安的学渣,强烈建议你是时候展现真正的技术了——临阵磨枪不快也光!你准备好了吗?前方为大家准备了高能备考技巧和干货资料包,拿起热水杯,准备走起。 1.PMBOK知识…

怎样使用Web自动化测试减少手动劳动?以百度网站为例

从入门到精通!企业级接口自动化测试实战,详细教学!(自学必备视频) 目录 摘要 步骤1:安装和配置Selenium 步骤2:启动浏览器并访问百度网站 步骤3:关闭浏览器 总结 摘要 本指南将…

数据风险评估

通过数据风险评估定位敏感数据并分析其漏洞。根据文件的敏感度对文件进行分类,并确保为它们提供必要的保护。 发现、分析和保护敏感数据 查找所有个人数据根据敏感度对文件进行分类遵守 IT 法规分析文件和权限 查找所有个人数据 监控企业存储环境并接收有关敏感…

(CVE-2022-22965)Spring Framework 远程命令执行漏洞(vulfocus复现)

漏洞原理 该漏洞是SpringFramework数据绑定的一个漏洞,如果后台方法中接受的参数为非基础类型,Spring会根据前端传入的请求正文中的参数的key值来查询与其名称所对应的getter和setter方法,攻击者利用这一特性修改了Tomcat的一个用于日志记录…

java开发记录v2(引入jar,问题及解决)

引入本地jar包 在src同级目录下新建libs目录将jar包放入进去 在pom.xml中下加入以下代码 <dependencies><dependency><groupId>com.hikvision.ga</groupId><artifactId>artemis-http-client</artifactId><version>1.1.8</ver…

Acer非凡X14笔记本电脑蓝屏了怎么U盘重装系统?

Acer非凡X14笔记本电脑蓝屏了怎么U盘重装系统&#xff1f;有用户在使用Acer非凡X14笔记本电脑的时候&#xff0c;系统开机后出现了蓝屏的情况&#xff0c;导致自己的电脑无法正常的去进行使用。那么这个情况怎么去通过U盘重装系统的方法来恢复系统的使用呢&#xff1f;一起来看…

软考A计划-重点考点-专题十二(JAVA程序设计)

点击跳转专栏>Unity3D特效百例点击跳转专栏>案例项目实战源码点击跳转专栏>游戏脚本-辅助自动化点击跳转专栏>Android控件全解手册点击跳转专栏>Scratch编程案例 &#x1f449;关于作者 专注于Android/Unity和各种游戏开发技巧&#xff0c;以及各种资源分享&am…

数据中心列头柜监控在常熟某微模块中的应用

安科瑞 耿敏花 摘要&#xff1a;安科瑞精密配电系统是安科瑞针对数据中心集中监控要求提供的多回路监控装置&#xff0c;监控多回路电参量并可对各种故障进行告警。主要适用于各类列头柜、精密配电柜、电源分配柜、UPS输出柜等末端配电设备的监控。在阐述数据中心机房机柜配电…

Keepalived结合Nginx实现WEB高可用服务

前言 随着Nginx在国内的发展潮流&#xff0c;越来越多的互联网公司都在使用Nginx&#xff0c;Nginx高性能、稳定性成为IT人士青睐的HTTP和反向代理服务器。 Nginx负载均衡一般位于整个网站架构的最前端或者中间层&#xff0c;如果为最前端时单台Nginx会存在单点故障&#xff0…

【SpringBoot2】四:核心技术----配置文件

文章目录 1.SpringBoot配置文件种类2.yaml3.支持的数据类型4.对象5.数组6.字面量7.示例 1.SpringBoot配置文件种类 主要有两种类型&#xff1a; properties yaml 2.yaml 语法&#xff1a; 大小写敏感使用缩进表示层级关系缩进不允许使用tab&#xff0c;只允许空格缩进的空格…

开源字节数字化乡村系统

随着社会的发展&#xff0c;互联网技术的迅速发展&#xff0c;乡村建设也受到了越来越多的关注。互联网乡村建设是一种新型的乡村建设模式&#xff0c;它将互联网技术与乡村建设相结合&#xff0c;以提高乡村建设的效率和质量。为了实现互联网乡村建设&#xff0c;需要建立一个…

2023 FP独立站的运营玩法汇总

无论Paypal怎么风控封号、冻结资金&#xff0c;但还是有很多新人前仆后继地加入外贸独立站这一行&#xff0c;特别是做FP。因为明白人都知道&#xff0c;FP利润空间比普货产品大得多。 那么2023年的独立站我们该怎么做&#xff0c;怎么运营才能逐步起色&#xff1f;今天我就跟…

Java版工程项目管理系统平台+企业工程系统源码+助力工程企业实现数字化管理

Java版工程项目管理系统 Spring CloudSpring BootMybatisVueElementUI前后端分离 功能清单如下&#xff1a; 首页 工作台&#xff1a;待办工作、消息通知、预警信息&#xff0c;点击可进入相应的列表 项目进度图表&#xff1a;选择&#xff08;总体或单个&#xff09;项目显示1…

48-Dockerfile-CMD/ENTRYPOINT指令

CMD/ENTRYPOINT指令 前言CMD作用格式使用示例 ENTRYPOINT作用格式使用示例CMD/ENTRYPOINT区别CMD使用示例ENTRYPOINT使用示例 前言 本篇来学习下Dockerfile中的CMD/ENTRYPOINT指令 CMD 作用 启动容器时默认执行的命令 说明&#xff1a; 一个 Dockerfile 只有一个 CMD 指令&…

nginx+flume网络流量日志实时数据分析实战

文章目录 nginxflume网络流量日志实时数据分析实战网络流量日志数据分析-概述网络流量日志数据分析-数据处理流程网络流量日志数据分析-数据采集网站日志文件启动nginx服务器:刷新页面,查看日志信息:日志字段解释 网络流量日志数据分析-数据采集-Flume框架Flume概述Flume运行机…

ESP32-C2开发板烧录演示

一、准备工作 数据线X 1 、 四博智联 ESPC2-12 开发板 X 1 二、环境搭建 1、进入https://code.visualstudio.com 官网下载VSCODE软件 2、安装完成后安装乐鑫插件如下图 3、插件安装完后&#xff0c;查看- 命令面板&#xff08;快捷键CtrlShiftP&#xff09;。 4、输入config…

基于C#的上位机和组态软件:如何选择最佳方案?

C#上位机并非取代组态软件&#xff0c;而是其补充&#xff0c;它们各自在不同的应用场景中发挥作用。 如果您了解组态&#xff0c;但不懂C#编程&#xff0c;且没有特殊需求&#xff08;如自定义协议、复杂业务、第三方系统对接等&#xff09;&#xff0c;并且希望获得良好的功…