PacketTracer - 第二层安全配置任务
目标
确保将中心交换机(3560型号)设置为根桥。
保护生成树协议参数以防止对STP的操控攻击。
启用端口安全功能以防止CAM表溢出攻击。
背景/场景
最近网络遭受了一系列攻击。因此,网络管理员已指派您负责配置第二层安全措施。
为了确保网络性能和安全性达到最优状态,管理员希望确定中心3560型号交换机作为根桥。为防止对生成树协议进行篡改攻击,管理员希望确保STP参数得到安全配置。针对CAM表溢出攻击的风险,网络管理员决定配置端口安全策略,限制每个交换机端口学习到的MAC地址数量。一旦学习到的MAC地址超过设定的限制,管理员希望建立机制自动关闭该端口。
所有交换机设备已经预先配置了以下信息:
启用密码: ciscoenpa55
控制台密码: ciscoconpa55
SSH用户名及密码: SSHadmin / ciscosshpa55
第一部分:配置根桥
步骤1:确定当前的根桥。
从中心交换机(Central)发出 show spanning-tree 命令,以确定当前的根桥、查看正在使用的端口及其状态。
Central#show spanning-tree
| |
哪个交换机是当前的根桥?
基于当前的根桥,请绘制由此得出的生成树拓扑结构。
步骤2:将Central设置为主根桥。
使用命令 spanning-tree vlan 1 root primary ,将 Central 设置为根桥。
Central(config)#spanning-tree vlan 1 root primary
步骤3:将SW-1设置为备用根桥。
使用命令 spanning-tree vlan 1 root secondary ,将 SW-1 设置为备用根桥。
SW-1(config)#spanning-tree vlan 1 root secondary
步骤4:验证生成树配置。
发出 show spanning-tree 命令来验证Central已成为根桥。
在Central#提示符下执行了该命令后显示如下信息:
| |
根据上述信息,哪个交换机是当前的根桥?
基于新的根桥设置,请绘制由此得出的生成树拓扑结构。
第二部分:防止STP攻击
步骤1:在所有接入端口上启用PortFast。
PortFast应在连接至单个工作站或服务器的接入端口上配置,以使它们更快地进入活动状态。在SW-A和SW-B的相连接入端口上使用 spanning-tree portfast 命令来启用 PortFast 。
SW-A(config)#int range f0/1-4 SW-A(config-if-range)#spanning-tree portfast
SW-B(config)#int range f0/1-4 SW-B(config-if-range)#spanning-tree portfast
步骤2:在所有接入端口上启用BPDU防护。
BPDU guard是一项功能,可以有助于防止恶意交换机和在接入端口上的欺骗行为。在SW-A和SW-B的接入端口上启用BPDU防护。
注解:为了防止STP报文(BPDU)操纵攻击,在接口配置模式下可以对每个单独端口使用命令 spanning-tree bpduguard enable 来启用BPDU防护;或者在全局配置模式下使用命令 spanning-tree portfast bpduguard default 来默认为所有启用PortFast的端口启用BPDU防护。针对本活动评分目的,请使用 spanning-tree bpduguard enable 命令。
SW-A(config)#int range f0/1-4 SW-A(config-if-range)#spanning-tree bpduguard enable
SW-B(config)#int range f0/1-4 SW-B(config-if-range)#spanning-tree bpduguard enable
步骤3:启用根保护。
根保护可以在非根端口的所有交换机端口上启用,最好部署在连接到其他非根交换机的端口上。使用 show spanning-tree 命令确定每个交换机上根端口的位置。
在SW-1上,在端口F0/23和F0/24上启用根保护。同样,在SW-2上,在端口F0/23和F0/24上也启用根保护。
SW-1(config)#int range f0/23-24 SW-1(config-if-range)#spanning-tree guard root
SW-2(config)#int range f0/23-24 SW-2(config-if-range)#spanning-tree guard root
第三部分:配置端口安全并禁用未使用端口
步骤1:在连接到主机设备的所有端口上配置基本端口安全。
此操作应在SW-A和SW-B的所有接入端口上执行。设置允许学习的MAC地址最大数量为 2 ,允许动态学习MAC地址,并将违规处理方式设为 shutdown (关闭)。
注解:只有当交换机端口配置为接入模式时,才能启用端口安全功能。
SW-A(config)#interface range f0/1 - 22 SW-A(config-if-range)#switchport mode access SW-A(config-if-range)#switchport port-security SW-A(config-if-range)#switchport port-security maximum 2 SW-A(config-if-range)#switchport port-security violation shutdown SW-A(config-if-range)#switchport port-security mac-address sticky
SW-B(config)#interface range f0/1-22 SW-B(config-if-range)#switchport mode access SW-B(config-if-range)#switchport port-security max SW-B(config-if-range)#switchport port-security maximum 2 SW-B(config-if-range)#switchport port-security violation shutdown SW-B(config-if-range)#switchport port-security mac-address sticky
为什么与其它交换机设备相连的端口不启用端口安全?
步骤2:验证端口安全配置。
a. 在SW-A上,输入命令 show port-security interface f0/1 来确认已成功配置了端口安全。
SW-A#show port-security int f0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0000.0000:0 Security Violation Count : 0
| |
b. 从C1向C2发送Ping请求,然后再次输入 show port-security interface f0/1 命令,以验证交换机是否已学会C1的MAC地址。
步骤3:禁用未使用的端口。
禁用当前所有未使用的端口。
SW-A(config)#int range f0/5-22 SW-A(config-if-range)#shutdown
SW-B(config)#int range f0/5-22 SW-B(config-if-range)#shutdown
步骤4:检查结果。
您的完成度应为100%。点击“检查结果”查看反馈信息以及所需组件完成情况的验证。
实验脚本:
Central:
| |
SW-1:
| |
SW-2:
| |
SW-A:
| |
SW-B:
| |