目录
[一、DHCP 安全配置](#一、DHCP 安全配置)
一、D HCP 安全 配置
配置要求:
1.给交换机配置enable密码.
2.在交换机上创建VLAN 100,将F0/1-3口改为Access口,并加入到VLAN 100中。
3.在交换机上启用DHCP侦听功能
4.在VLAN 100中启用侦听
5.将交换机连接Server1的端口设置为可信端口
6.将交换机连接PC的端口设置每秒允许的最大DHCP消息数为3,超过后接口就shutdown。
Server-PT0 配置:
Server-PT1 配置同上。
交换机的配置
创建vlan 100-200图形创建
端口1-3 加入到100vlan中
在交换机上启用DHCP侦听功能
在VLAN 100中启用侦听
将交换机连接Server1的端口设置为可信端口
将交换机连接PC的端口设置每秒允许的最大DHCP消息数为3,超过后接口就shutdown。
PC0 的ip是通过dhcp获取的 就算完成。
二、SSH配置
配置登录 Console 控制台密码
Router(config)#line console 0 //配置登录控制台密码
Router(config-line)#password 123
Router(config-line)#login
对所有未加密的口令进行弱加密
Router(config)#service password-encryption //对所有未加密的口令进行弱加密
SSH配置
Router(config)#username lzy privilege 15 secret abc //配置SSH登录的用户、密码和权限
Router(config)#ip domain-name lzy.edu.cn //配置域名
Router(config)#ip ssh version 2 //启用SSHv2版本
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router (config)#ip ssh time-out 5 //配置SSH连接超时的时间单位是秒
Router(config)#ip ssh authentication-retries 5 //配置允许SSH验证重试次数
Router(config)#hostname lzy //配置路由器名称
lzy(config)#crypto key generate rsa general-keys modulus 1024 //生成RSA密码对,对于SSHv2,参数key-length密钥长度至少为768bit
打开路由器SSH的远程登录
lzy(config)#line vty 0 4 //0-4同时允许5个终端登录。
lzy(config-line)#login local //配置VTY登录要通过本地数据库验证
lzy(config-line)#transport input ssh //设备仅允许通过SSH方式登录
lzy#write //保存配置,前面是lzy的原因是因为改了设备名称。
配置完成后,在Router1上通过SSH登录到Router0验证相关配置
三、标准 ACL 的配置
在网络中配置标准ACL,禁止PC0访问Server0,网络拓扑如下:
给路由器配置IP地址。(图形化界面操作)
Router>enable
Router#configure terminal
Router(config)#interface FastEthernet0/0
Router(config-if)#no shutdown
Router(config-if)#ip address 192.168.100.1 255.255.255.0
Router(config-if)#exit
Router(config)#interface FastEthernet0/1
Router(config-if)#no shutdown
Router(config-if)#ip address 192.168.200.1 255.255.255.0
Router(config-if)#exit
配置访问控制列表限制PC0访问服务器
Router(config)#access-list 1 deny host 192.168.100.100 //拒绝PC0
Router(config)#access-list 1 permit any //允许其余的访问
Router(config)#interface f0/1
Router(config-if)#ip access-group 1 out //应用前面定义的规则
四、配置交换机端口安全
配置要求:
只允许PC0接入到网络中 ,访问S0
Switch(config)#interface f0/1 //进入交换机Switch0的fa0/1端口。
Switch(config-if)#switchport mode access // 将f0/1端口设置为 access模式。默认就是access模式
Switch(config-if)#switchport port-security //开启交换机端口安全功能
Switch(config-if)#switchport port-security maximum 1 //配置交换机端口下允许接入的MAC条目的最大数量。
Switch(config-if)#switchport port-security mac-address XXXX.XXXX.XXXX //绑定允许通过的MAC地址。
Switch(config-if)#switchport port-security violation shutdown |protect|restrict // 违反端口安全规则的处理方式。 shutdown |protect|restric根据题的要求,三选一 ( 关机 | 保护 | 限制 )
五、三层交换和 ACL 的配置
为了保障网络的安全性,在网络中配置访问控制列表,实现非授权用户禁止访问相关VLAN。
配置要求如下:
|------------|--------------------|
| 设备名称 | IP 地址 |
| PC0 | 192.168.100.100/24 |
| PC1 | 192.168.100.200/24 |
| PC2 | 192.168.200.100/24 |
| PC3 | 192.168.200.200/24 |
| VLANIF 100 | 192.168.100.254 |
| VLANIF 200 | 192.168.200.254 |
1.在网络中分别划分VLAN100和VLAN200。
2.将PC0和PC1放入VLAN 100,将PC2和PC3放入VLAN200。
3.给分别给VLAN100和VLAN 200配置VLAN IF地址,地址为192.168.100.254和192.168.200.254。
4.交换机上配置标准的访问控制列表,禁止非授权用户PC0访问VLAN200,其余访问不受限
Switch>enable
Switch#conf t
1.在网络中分别划分VLAN100和VLAN200。
Switch(config)#vlan 100
Switch(config-vlan)#exit
Switch(config)#vlan 200
Switch(config-vlan)#exit
2.将PC1和PC放入VLAN 100
Switch(config)#interface range f0/1-2
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 100
Switch(config-if-range)#exit
将PC3和PC4放入VLAN200。
Switch(config)#interface range f0/3-4
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 200
Switch(config-if-range)#exit
给分别给VLAN100和VLAN 200配置VLAN IF地址,地址为192.168.100.254和192.168.200.254。
Switch(config)#interface vlan 100
Switch(config-if)#ip address 192.168.100.254 255.255.255.0
Switch(config-if)#exit
Switch(config)#interface vlan 200
Switch(config-if)#ip address 192.168.200.254 255.255.255.0
Switch(config-if)#exit
Switch(config)#ip routing // 打开路由功能
交换机上配置标准的访问控制列表,禁止非授权用户PC0访问VLAN200,其余访问不受限Switch(config)#access-list 1 deny host 192.168.100.100
Switch(config)#access-list 1 permit any
Switch(config)#interface vlan 200
Switch(config-if)#ip access-group 1 out
Switch(config-if)#exit