目錄

一、DHCP 安全配置

二、SSH配置

三、標(biāo)準(zhǔn)ACL的配置

四、配置交換機(jī)端口安全

五、三層交換和ACL的配置

一、DHCP 安全配置

配置要求：

1.給交換機(jī)配置enable密碼.

2.在交換機(jī)上創(chuàng)建VLAN 100，將F0/1-3口改為Access口，并加入到VLAN 100中。

3.在交換機(jī)上啟用DHCP偵聽(tīng)功能

4.在VLAN 100中啟用偵聽(tīng)

5.將交換機(jī)連接Server1的端口設(shè)置為可信端口

6.將交換機(jī)連接PC的端口設(shè)置每秒允許的最大DHCP消息數(shù)為3，超過(guò)后接口就shutdown。

Server-PT0 配置：

Server-PT1 配置同上。

交換機(jī)的配置

創(chuàng)建vlan 100-200圖形創(chuàng)建

端口1-3 加入到100vlan中

在交換機(jī)上啟用DHCP偵聽(tīng)功能

在VLAN 100中啟用偵聽(tīng)

將交換機(jī)連接Server1的端口設(shè)置為可信端口

將交換機(jī)連接PC的端口設(shè)置每秒允許的最大DHCP消息數(shù)為3，超過(guò)后接口就shutdown。

PC0 的ip是通過(guò)dhcp獲取的 就算完成。

二、SSH配置

?

配置登錄Console控制臺(tái)密碼

Router(config)#line console 0 ??//配置登錄控制臺(tái)密碼

Router(config-line)#password 123

Router(config-line)#login

對(duì)所有未加密的口令進(jìn)行弱加密

Router(config)#service password-encryption ?//對(duì)所有未加密的口令進(jìn)行弱加密

SSH配置

Router(config)#username lzy?privilege 15 secret?abc??//配置SSH登錄的用戶、密碼和權(quán)限

Router(config)#ip domain-name?lzy.edu.cn ??//配置域名

Router(config)#ip ssh version 2 ???//啟用SSHv2版本

Please create RSA keys (of at least 768 bits size) to enable SSH v2.

Router (config)#ip ssh time-out?5 ??//配置SSH連接超時(shí)的時(shí)間單位是秒

Router(config)#ip ssh authentication-retries 5 ?//配置允許SSH驗(yàn)證重試次數(shù)

Router(config)#hostname?lzy ??//配置路由器名稱

lzy(config)#crypto key generate rsa general-keys modulus 1024??//生成RSA密碼對(duì)，對(duì)于SSHv2,參數(shù)key-length密鑰長(zhǎng)度至少為768bit

打開(kāi)路由器SSH的遠(yuǎn)程登錄

lzy(config)#line vty 0 4 ??????//0-4同時(shí)允許5個(gè)終端登錄。

lzy(config-line)#login local ????//配置VTY登錄要通過(guò)本地?cái)?shù)據(jù)庫(kù)驗(yàn)證

lzy(config-line)#transport input ssh ?//設(shè)備僅允許通過(guò)SSH方式登錄

lzy#write ???//保存配置,前面是lzy的原因是因?yàn)楦牧嗽O(shè)備名稱。

配置完成后，在Router1上通過(guò)SSH登錄到Router0驗(yàn)證相關(guān)配置

三、標(biāo)準(zhǔn)ACL的配置

在網(wǎng)絡(luò)中配置標(biāo)準(zhǔn)ACL，禁止PC0訪問(wèn)Server0，網(wǎng)絡(luò)拓?fù)淙缦拢?/p>

給路由器配置IP地址。(圖形化界面操作)

Router>enable

Router#configure terminal

Router(config)#interface FastEthernet0/0

Router(config-if)#no shutdown

Router(config-if)#ip address 192.168.100.1 255.255.255.0

Router(config-if)#exit

Router(config)#interface FastEthernet0/1

Router(config-if)#no shutdown

Router(config-if)#ip address 192.168.200.1 255.255.255.0

Router(config-if)#exit

配置訪問(wèn)控制列表限制PC0訪問(wèn)服務(wù)器

Router(config)#access-list 1 deny host 192.168.100.100???//拒絕PC0

Router(config)#access-list 1 permit any?????????????//允許其余的訪問(wèn) ????

Router(config)#interface f0/1??????????????????????

Router(config-if)#ip access-group 1 out?//應(yīng)用前面定義的規(guī)則

四、配置交換機(jī)端口安全

配置要求：

只允許PC0接入到網(wǎng)絡(luò)中,訪問(wèn)S0

Switch(config)#interface f0/1 ?//進(jìn)入交換機(jī)Switch0的fa0/1端口。

Switch(config-if)#switchport mode access // 將f0/1端口設(shè)置為 access模式。默認(rèn)就是access模式

Switch(config-if)#switchport port-security //開(kāi)啟交換機(jī)端口安全功能

Switch(config-if)#switchport port-security maximum 1 //配置交換機(jī)端口下允許接入的MAC條目的最大數(shù)量。

Switch(config-if)#switchport port-security mac-address XXXX.XXXX.XXXX?//綁定允許通過(guò)的MAC地址。

Switch(config-if)#switchport port-security violation ?shutdown｜protect｜restrict?// 違反端口安全規(guī)則的處理方式。?shutdown｜protect｜restric根據(jù)題的要求，三選一?? ( 關(guān)機(jī) ? | ? 保護(hù) ? |? 限制 )

五、三層交換和ACL的配置

為了保障網(wǎng)絡(luò)的安全性，在網(wǎng)絡(luò)中配置訪問(wèn)控制列表，實(shí)現(xiàn)非授權(quán)用戶禁止訪問(wèn)相關(guān)VLAN。

配置要求如下：

1.在網(wǎng)絡(luò)中分別劃分VLAN100和VLAN200。

2.將PC0和PC1放入VLAN 100，將PC2和PC3放入VLAN200。

3.給分別給VLAN100和VLAN 200配置VLAN IF地址，地址為192.168.100.254和192.168.200.254。

4.交換機(jī)上配置標(biāo)準(zhǔn)的訪問(wèn)控制列表，禁止非授權(quán)用戶PC0訪問(wèn)VLAN200，其余訪問(wèn)不受限

Switch>enable

Switch#conf t

1.在網(wǎng)絡(luò)中分別劃分VLAN100和VLAN200。

Switch(config)#vlan 100

Switch(config-vlan)#exit

Switch(config)#vlan 200

Switch(config-vlan)#exit

2.將PC1和PC放入VLAN 100?

Switch(config)#interface range f0/1-2

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 100

Switch(config-if-range)#exit

將PC3和PC4放入VLAN200。

Switch(config)#interface range f0/3-4

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 200

Switch(config-if-range)#exit

給分別給VLAN100和VLAN 200配置VLAN IF地址，地址為192.168.100.254和192.168.200.254。

Switch(config)#interface vlan 100

Switch(config-if)#ip address 192.168.100.254 255.255.255.0

Switch(config-if)#exit文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-713546.html

Switch(config)#interface vlan 200

Switch(config-if)#ip address 192.168.200.254 255.255.255.0

Switch(config-if)#exit

Switch(config)#ip routing????// 打開(kāi)路由功能

交換機(jī)上配置標(biāo)準(zhǔn)的訪問(wèn)控制列表，禁止非授權(quán)用戶PC0訪問(wèn)VLAN200，其余訪問(wèn)不受限Switch(config)#access-list 1 deny host 192.168.100.100

Switch(config)#access-list 1 permit any

Switch(config)#interface vlan 200

Switch(config-if)#ip access-group 1 out

Switch(config-if)#exit

到了這里，關(guān)于高級(jí)工技能等級(jí)認(rèn)定---網(wǎng)絡(luò)設(shè)備安全的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！