DCRS
文章目录
1. 创建用户密码题目
- CS开启telnet登录功能,用户名skills01,密码skills01,密码呈现需加密;
DCRS(config)#telnet-server enable
DCRS(config)#username skills01 password skills01
DCRS(config)#service password-encryption //密码加密
DCRS(config)#authentication line vty login local //登录验证方式
show run 查看
username skills01 password 7 801eb1535e0c51d99bea2002b43da113
- 开启 SSH 管理功能,用户名和密码都是 DCN,关闭 web 管理。
DCRS(config)#ssh-server enable
DCRS(config)#username DCN password DCN
DCRS(config)#no ip http server //关闭web管理
DCRS(config)#telnet-server enable
DCRS(config)#authentication line vty login local
-
在公司总部的DCRS上配置,在交换设备上开启SSH管理功能,用户名和密码都是DCN,并关闭设备的web管理方式,仅允许使用console、ssh和telnet方式管理设备。
开启ssh服务功能,配置用户名和密码
DCRS(config)#ssh-server enable DCRS(config)#username DCN password DCN DCRS(config)#no ip http server DCRS(config)#telnet-server enable DCRS(config)#authentication line vty login local -
在公司总部的DCRS上配置,配置设备enable密码,并且在登录设备时必须正确输入enable密码才能进入交换机的配置模式。
DCRS(config)#enable password 0 123 DCRS(config)#exit DCRS#exit DCRS>enable Password:123 DCRS#
2. 加大带宽
- 尽可能加大总部核心交换机DCRS与防火墙之间的带宽
DCRS(config)#port-group 1
DCRS(config)#interface ethernet 1/0/1-2 //和防火墙相连的双接口
DCRS(config-if-port-range)#speed-duplex force1g-full
DCRS(config-if-port-range)#port-group 1 mode active
3. 端口安全
1.ARP欺骗
- 配置公司总部的DORS,通过ARP Guard来抵御来自VLAN54接口的针对网关的ARP 欺骗攻击。(4分)
DCRS(config)#interface ethernet 1/0/10-12
DCRS(config-if-port-range)#arp-guard ip 192.168.54.1
2. 环路检测
- 在公司总部的 DCRS 上配置端口环路检测(Loopback Detection),防止来自vlan54 接口下的单端口环路,并配置存在环路时的检测时间间隔为30秒,不存在环路时的检测时间间隔为10秒,发现环路以后关闭该端口。(8分)
DCRS(config)#loopback-detection interval-time 30 10
DCRS(config-if-port-range)#loopback-detection specified-vlan 54
DCRS(config-if-port-range)#loopback-detection control shutdown
-
对SW上VLAN50开启以下安全机制。业务内部终端相互二层隔离;14口启用环路检测,环路检测的时间间隔为10s,发现环路以后关闭该端口,恢复时间为30分钟,如私设DHCP服务器关闭该端口,同时开启防止ARP网关欺骗攻击
DCRS(config)#isolate-port apply l2 //启用2层隔离 DCRS(config)#isolate-port group 1 switchport interface ethernet 1/0/13 DCRS(config)#isolate-port group 1 switchport interface ethernet 1/0/14 //启用端口隔离 DCRS(config)#loopback-detection interval-time 10 10 //环路检测的时间间隔为10s DCRS(config)#loopback-detection control-recovery timeout 1800 //恢复时间为30分钟 DCRS(config)#interface ethernet 1/0/14 DCRS(config-if-ethernet1/0/14)#loopback-detection specified-vlan 50 DCRS(config-if-ethernet1/0/14)#loopback-detection control shutdown //发现环路以后关闭该端口 DCRS(config-if-ethernet1/0/14)#arp-guard ip 20.1.50.1 //开启防止ARP网关欺骗攻击 DCRS(config-if-ethernet1/0/14)#ip dhcp snooping action shutdown //私设DHCP服务器关闭该端口 //启用环路检测 DCRS(config-if-ethernet1/0/5)#ip dhcp snooping trust //上行端口启用trust
3. MAC地址泛洪攻击
- 为防止终端产生MAC 地址泛洪攻击,请配置端口安全,已划分VLAN52的端口最多学习到150个MAC 地址,发生违规阻止后续违规流量通过,不影响已有流量并产生LOG 日志;连接PC1的接口为专用接口,限定只允许PC1 的 MAC地址可以连接.(6分)
DCRS(config)#mac-address-learning cpu-control
DCRS(config)#interface ethernet 1/0/7-8
DCRS(config-if-port-range)#switchport port-security
DCRS(config-if-port-range)#switchport port-security maximum 150
DCRS(config-if-port-range)#switchport port-security violation restrict
DCRS(config-if-port-range)#interface ethernet 1/0/9
DCRS(config-if-ethernet1/0/9)#switchport port-security
DCRS(config-if-ethernet1/0/9)#switchport port-security mac-address 34-E6-AD-4D-1F-B1
DCRS(config-if-ethernet1/0/9)#switchport port-security violation restrict
4. MAC、ARP、ND限制
- 为了防止DOS攻击的发生,在总部交换机VLAN50接口下对MAC、ARP、ND表项数量进行限制,具体要求为:最大可以学习20个动态MAC地址、20个动态ARP地址、50个NEIGHBOR表项。
DCRS(config-if-port-range)#switchport mac-address dynamic maximum 20
DCRS(config-if-port-range)#switchport arp dynamic maximum 20
DCRS(config-if-port-range)#switchport nd dynamic maximum 50
4. SNMP网络管理协议
- 总部交换机CS配置简单网络管理协议,计划启用V2C版本。Trap团体字符串为skills01,当设备有异常时,需要使用本地VLAN100地址发送Trap消息至网管服务器10.51.0.253;当交换机CS的eth1/0/20接口发生up/down事件时需要发送Trap信息;(vlan100ip:192.168.100.1/30,e/1/0/20)
DCRS(config)#snmp-server enable
DCRS(config)#snmp-server enable traps
DCRS(config)#snmp-server host 10.51.0.253 v2c skills01
DCRS(config)#snmp-server trap-source 192.168.100.1
DCRS(config)#interface ethernet 1/0/20
DCRS(config-if-ethernet1/0/20)#switchport updown notification enable
-
总部部署了一套网管系统实现对 DCRS 交换机进行管理,网管系统 IP 为:172.16.100.21,读团体值为:DCN2019,版本为 V2C,交换机 DCRS Trap 信息实时上报网管,当 MAC 地址发生变化时,也要立即通知网管发生的变化,每 35s 发送一次;(6 分)
DCRS(config)#snmp-server enable //开启snmp-server DCRS(config)#snmp-server enable traps //开启snmp-server trap 功能 DCRS(config)#snmp-server enable traps mac-notification DCRS(config)#snmp-server community ro DCN2019 DCRS(config)#snmp-server host 172.16.100.21 v2c DCN2019 DCRS(config)#snmp-server securityip 172.16.100.21 DCRS(config)#mac-address-table violation-trap-interval 35 DCRS(config)#mac-address-table notificition DCRS(config)#mac-address-table notification interval 35Mac learning is not in cpu-control mode, please enable it to make mac-notification work well (如果输入DCRS(config)#mac-address-table notification 这条命令显示这个需要开启DCRS(config)#mac-address-learning cpu-control)
5. 认证服务器Radius
- DCRS 配置 802.1x 认证,Radius 服务器 IP 地址 192.168.100.10,认证密码 Dcn2017,E1/0/8 号端口开启 802.1x 功能,接入该端口通过 PC 上的 802.1x 软件进行认证。(6 分)
DSRS(config)#radius-server key 0 Dcn2017
DCRS(config)#radius-server authentication host 192.168.100.10
DCRS(config)#aaa enable
DCRS(config)#dot1x enable
DCRS(config)#interface ethernet 1/0/8
DCRS(config-if-ethernet1/0/8)#dot1x enable
- 在公司总部的 DCRS 上配置,需要在交换机第 10 个接口上开启基 于 MAC 地址模式的认证,认证通过后才能访问网络,认证服务器连接在服务器区,IP 地址是192.168.50.105,radius key 是 dcn。
DCRS(config)#radius-server key 0 dcn
DCRS(config)#radius-server authentication host 192.168.50.105
DCRS(config)#aaa enable
DCRS(config)#dot1x enable
DCRS(config)#dot1x macbased re-authentication
DCRS(config)#interface ethernet 1/0/10
DCRS(config-if-ethernet1/0/10)#dot1x enable
DCRS(config-if-ethernet1/0/10)#dot1x port-method macbased
- 为了控制接入网络 PC,需要在交换 Eth1/0/10 口开启 DOT1X 认证,配置认 证服务器,IP 地址是 172.16.100.40,radius key 是 dcn2018;
DCRS(config)#radius-server authentication host 172.16.100.40 key 0 dcn2018
DCRS(config)#aaa enable
DCRS(config)#dot1x enable
DCRS(config)#interface ethernet 1/0/10
DCRS(config-if-ethernet1/0/10)#dot1x enable
DCRS(config-if-ethernet1/0/10)#dot1x port-method portbased
6. 端口am合法包丢弃
- 接入 DCRS E1/0/9,仅允许 IP 地址 192.168.30.1-192.168.30.10 为源的数 据包为合法包,以其它 IP 地址为源地址,交换机直接丢弃(6 分)
DCRS(config)#am enable
DCRS(config)#interface ethernet 1/0/9
DCRS(config-if-ethernet1/0/9)#am port
DCRS(config-if-ethernet1/0/9)#am ip 192.168.30.1 10
7. DHCP动态ARP检测
- 为拦截,防止非法的 MAC 地址与 IP 地址绑定的 ARP 数据包,配置动态 ARP 检测功能,AC 为 DHCP 服务器,限制与 AC 在同一 VLAN 接口的 ARP 阀值为 50(6 分)
DCRS(config)#ip dhcp snooping enable
DCRS(config)#interface ethernet 1/0/1
DCRS(config-if-ethernet1/0/1)#switchport access vlan 2
DCRS(config-if-ethernet1/0/1)#ip dhcp snooping trust //ac连接端口设此trust
DCRS(config-if-ethernet1/0/1)#ip arp inspection limit-rate 50
DCRS(config-if-ethernet1/0/1)#
8. ARP扫描、检测,欺骗
-
开启防 ARP 扫描功能,单位时间内端口收到 ARP 数量超过 50 便认定是攻击, DOWN 掉此端口;
DCRS(config)#anti-arpscan enable DCRS(config)#anti-arpscan port-based threshold 50 -
为拦截、防止非法的 MAC 地址与 IP 地址绑定的 ARP 数据包配置动态 arp 检 测功能,VLAN30 用户网络接口的 ARP 阀值为 50. (6 分)
DCRS(config-if-vlan30)#ip arp dynamic maximum 50 -
为了防止 vlan40 网段 arp 欺骗,需要在交换机上开启 ip dhcp snooping 并在接口下绑定用户。(6 分,扣完为止) vlan 40:ethernet1/0/6-9
DCRS(config)#ip dhcp snooping enable DCRS(config)#ip dhcp snooping binding enable DCRS(config)#interface ethernet 1/0/1-2 //上行设备需要配置 DCRS(config-if-port-range)#ip dhcp snooping trust DCRS(config-if-port-range)#exit DCRS(config)#interface ethernet 1/0/6-9 DCRS(config-if-port-range)#ip dhcp snooping binding user-control
9. 广播风暴抑制storm
-
DCRS 上配置,VLAN40 的成员接口开启广播风暴抑制功能,参数设置为 2000pps。(6 分)
DCRS(config)#interface ethernet 1/0/6-9 DCRS(config-if-port-range)#storm-control broadcast 2000
10. 访问控制/蠕虫病毒
-
总部核心交换机 DCRS 上实现访问控制,在 E1/0/14 端口上配置 MAC 地址为 00-03-0f-00-00-01 的主机不能访问 MAC 地址为 00-00-00-00-00-ff 的主机;(6 分)
DCRS(config)#mac-access-list extended macacl //创建acl名称自定义macacl DCRS(config-mac-ext-nacl-macacl)#deny host-source-mac 00-03-0f-00-00-01 host-destination-mac 00-00-00-00-00-ff DCRS(config-mac-ext-nacl-macacl)#exit DCRS(config)#interface ethernet 1/0/14 DCRS(config-if-ethernet1/0/14)#mac access-group macacl in //将acl应用到14接口 -
2017 年勒索蠕虫病毒席卷全球,爆发了堪称史上最大规模的网络 攻击,通过对总部核心交换机 DCRS 所有业务 VLAN 下配置访问控 制策略实现双向安全防护;(6 分)!
DCRS(config)#ip access-list extended bingdu //创建acl名称自定义为bingdu DCRS(config-ip-ext-nacl-bingdu)#deny tcp any-source any-destination d-port 135 DCRS(config-ip-ext-nacl-bingdu)#deny tcp any-source any-destination d-port 137 DCRS(config-ip-ext-nacl-bingdu)#deny tcp any-source any-destination d-port 138 DCRS(config-ip-ext-nacl-bingdu)#deny tcp any-source any-destination d-port 139 DCRS(config-ip-ext-nacl-bingdu)#deny tcp any-source any-destination d-port 445 //拒绝任何源到任何目的访问 135、137、138、139、445 端口 DCRS(config-ip-ext-nacl-bingdu)#permit ip any-source any-destination DCRS(config-ip-ext-nacl-bingdu)#exit DCRS(config)#vacl ip access-group bingdu in vlan 10,20,30,40 DCRS(config)#vacl ip access-group bingdu out vlan 10,20,30,40 //将acl应用到vlan10,20,30,40接收和出去报文过滤11. 端口镜像
-
总部核心交换机 DCRS 出口往返流量发送给 DCBI,由 DCBI 对收到的数据进行用户所要求的分析; (6 分)
DCRS(config)#monitor session 1 source interface e1/0/24 tx DCRS(config)#monitor session 1 source interface e1/0/24 rx //e1/0/24出口往返流量端口 DCRS(config)#monitor session 1 destination interface e1/0/3 //e1/0/3是DCRS和BC的连接端口
12. dcp功能CPU速率控制
-
为避免报文速率过快造成 CPU 负载过重,实时监测上 CPU 的 other-ipuc 报文,控制报文上 CPU 的速率,对除管理员PC(172.16.40.20)外的报文上 CPU 允许的最大速率值设定为40;(交换机手册维护与调试操作中dcp功能)
DCRS(config)#dcp enable DCRS(config)#dcp limit-rate 40 DCRS(config)#dcp no-limit-ip 172.16.40.20 -
配置公司总部的 DCRS,通过策 略,防止 DCRS 受到来自于全部物理接口的 DOS(Denial Of Service) 攻击(数值自定义)。
DCRS(config)#dcp enable DCRS(config)#dcp limit-rate 40
13. MSTP 多实例生成树冗余线路-负载均衡调式
总部启用 MSTP 协议,NAME 为 DCN2014、 Revision-level 1,实例 1 中包括 VLAN10;
实例 2 中包括 VLAN20、要求两条链路负载分担,其中 VLAN10 业务数据在 E1/0/4 进行数据转发,要求 VLAN20业务数据在E1/0/5进行数据转发,通过在DCWS两个端口设置COST值 2000000 实现;
配置 DCRS 连接终端接口立即进入转发模式且在收到 BPDU 时自动关闭端口;防止从 DCWS 方向的根桥抢占攻击;
| code | 解释 |
|---|---|
| spanning-tree mode | 启用所属生成树特性 |
| spanning-tree | 激活生成树 |
| spanning-tree mst configuration | 进入生成树配置 Cli |
| instence num | 绑定实例 |
| spanning-tree mst 1 priority 0 | 操作实例优先级,优先级高则为根桥(数字越小越牛) |
| spanning-tree cost 100 | 操作端口 cost 值以分流数据,该端口将可能为根端口 |
| spanning-tree portfast bpduguard | 开启 portfast 特性中的 bpdu 报文监听,若监听非自身根桥 BPDU 报文则关闭端口,当然这种操作是不可取的,会损坏业务 |
DCRS#config terminal
DCRS(config)#spanning-tree mode mstp //启用所属生成树特性
DCRS(config)#spanning-tree //激活生成树
DCRS(config)#spanning-tree mst configuration
DCRS(config-mstp-region)#revision-level 1
DCRS(config-mstp-region)#name DCN2014
DCRS(config-mstp-region)#instance 1 vlan 10
DCRS(config-mstp-region)#instance 2 vlan 20
DCRS(config-mstp-region)#exit
DCRS(config)#spanning-tree mst 1 priority 0
DCRS(config)#spanning-tree mst 2 priority 4096
DCRS(config)#int e1/0/1
DCRS(config-if-ethernet1/0/1)#spanning-tree cost 100
DCRS(config-if-ethernet1/0/1)#int e1/0/2
DCRS(config-if-ethernet1/0/2)#spanning-tree cost 200000
DCRS(config-if-ethernet1/0/2)#exit
DCRS(config)#int e1/0/7-9
DCRS(config-if-port-range)#spanning-tree portfast bpduguard
DCRS(config-if-port-range)#spanning-tree port-priority 0
DCRS(config-if-port-range)#int e1/0/10-12
DCRS(config-if-port-range)#spanning-tree portfast bpduguard
DCRS(config-if-port-range)#spanning-tree port-priority 0
DCS(config-if-port-range)#end
14. ipv6路由配置
- 总公司和分公司今年进行IPv6试点,要求总公司和分公司销售部门用户能够通过IPv6相互访问,IPv6业务通过租用裸纤承载。实现分公司和总公司IPv6业务相互访问;AC与SW之间配置静态路由使VLAN50与VLAN60可以通过IPv6通信;VLAN40开启IPv6,IPv6业务地址规划如下:
| 业务 | IPv6地址 |
|---|---|
| 总公司VLAN50 | 2001:DA8:50::1/64 |
| 分公司VLAN60 | 2001:DA8:60::1/64 |
SW(config)#show ipv6 interface brief
//查看ipv6 vlan40:fe80::203:fff:fe92:e243/64
SW(config)#show ipv6 interface brief
//查看ipv6 vlan40:fe80::203:fff:feb9:8167/64
AC(config)#ipv6 route 2001:DA8:50::1/64 fe80::203:fff:fe92:e243 vlan40
SW(config)#ipv6 route 2001:DA8:60::1/64 fe80::203:fff:feb9:8167 vlan40
SW(config)#show ipv6 route
IPv6 Routing Table
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
I - IS-IS, B - BGP
Timers: Uptime
C ::1/128 via ::, Loopback, 19:35:19 tag:0
C 2001:da8:50::/64 via ::, Vlan50, 19:23:01 tag:0
S 2001:da8:60::/64 [1/0] via fe80::203:fff:feb9:8167, Vlan40, 00:24:04 tag:0
AC(config)#show ipv6 route
IPv6 Routing Table
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
I - IS-IS, B - BGP
Timers: Uptime
C ::1/128 via ::, Loopback, 19:23:56 tag:0
S 2001:da8:50::/64 [1/0] via fe80::203:fff:fe92:e243, Vlan40, 00:00:11 tag:0
C 2001:da8:60::/64 via ::, Vlan60, 18:23:29 tag:0