地址表

目标

• 在R1上配置本地用户账户，并使用本地AAA进行控制台和vty线路的身份验证。

• 从R1控制台和PC-A客户端验证本地AAA身份验证功能。

• 配置基于服务器的AAA身份验证，采用TACACS+协议。

• 从PC-B客户端验证基于服务器的AAA（TACACS+）身份验证。

• 配置基于服务器的AAA身份验证，采用RADIUS协议。

• 从PC-C客户端验证基于服务器的AAA（RADIUS）身份验证。

背景/场景

网络拓扑图显示了路由器R1、R2和R3。目前，所有管理安全性都基于enable secret密码。您的任务是配置并测试本地及基于服务器的AAA解决方案。

您将在路由器R1上创建一个本地用户账户，并配置本地AAA以测试控制台和vty登录：

• 用户账户：Admin1，密码admin1pa55 接下来，将配置路由器R2以支持通过TACACS+协议实现的基于服务器的身份验证。TACACS+服务器已经预先配置了以下信息：

• 客户端：R2，关键字为tacacspa55

• 用户账户：Admin2，密码admin2pa55 最后，您将配置路由器R3以支持通过RADIUS协议实现的基于服务器的身份验证。RADIUS服务器已预先配置如下信息：

• 客户端：R3，关键字为radiuspa55

• 用户账户：Admin3，密码admin3pa55 此外，路由器还预配置了以下内容：

• 启用秘密密码：ciscoenpa55

• 使用MD5认证的OSPF路由协议，密码为：MD5pa55 注意：控制台和vty线路尚未预先配置。

注意：尽管IOS版本15.3使用了更为安全的加密哈希算法SCRYPT，但在Packet Tracer当前支持的IOS版本中仍使用MD5。请始终在您的设备上使用最安全的选项。

第一部分：在R1上配置本地AAA认证以实现控制台访问

步骤1：测试连通性

• 从PC-A向PC-B执行Ping操作。

• 从PC-A向PC-C执行Ping操作。

• 从PC-B向PC-C执行Ping操作。

步骤2：在R1上配置本地用户名

• 在R1上配置一个名为 Admin1 的用户名，设置秘密密码为 admin1pa55 。

R1(config)# username Admin1 secret admin1pa55

步骤3：在R1上为控制台访问配置本地AAA认证

• 在R1上启用AAA功能，并配置控制台登录时使用本地数据库进行AAA身份验证。

R1(config)# aaa new-model R1(config)# aaa authentication login default local

步骤4：配置控制台线路使用定义的AAA认证方法

• 在R1上针对控制台登录启用AAA，并配置其使用默认方法列表进行AAA身份验证。

R1(config)# line console 0 R1(config-line)# login authentication default

步骤5：验证AAA认证方法

• 使用本地数据库验证用户EXEC登录过程。

通过以上配置后，可以在R1的控制台上用Admin1账户和对应的密码admin1pa55进行登录，验证本地AAA身份验证是否生效。

第二部分：在R1上配置本地AAA认证以实现vty线路访问

步骤1：配置域名和加密密钥以配合SSH使用 a. 在R1上将 ccnasecurity.com 设置为域名。 b. 创建一个1024位的RSA加密密钥。

R1(config)#ip domain-name ccnasecurity.com R1(config)# crypto key generate rsa

1
2
3
4
5
6
7
8

R1(config)# crypto key generate rsa
The name for the keys will be: R3.ccnasecurity.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
 
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

步骤2：为R1上的vty线路配置命名列表AAA认证方法

• 配置名为 SSH-LOGIN 的命名列表，用于使用本地AAA进行登录认证。

R1(config)# aaa authentication login SSH-LOGIN local

步骤3：配置vty线路使用定义的AAA认证方法

• 配置vty线路使用已定义的AAA方法，并只允许通过SSH进行远程访问。

R1(config)# line vty 0 4 R1(config-line)# transport input ssh R1(config-line)# login authentication SSH-LOGIN

步骤4：验证AAA认证方法

• 从PC-A的命令提示符处通过SSH连接到R1，验证SSH配置及AAA身份验证。
  

第三部分：在R2上配置基于TACACS+服务器的AAA认证

步骤1：配置备用本地数据库条目（Admin）

• 为了备份目的，在R2上配置一个本地用户名 Admin2 ，密码为 admin2pa55 。

R2(config)# username Admin2 secret admin2pa55

步骤2：验证TACACS+服务器配置

• 点击TACACS+ Server，查看“服务”选项卡中的AAA设置，确认存在针对R2的网络配置条目和针对Admin2的用户设置条目。

步骤3：在R2上配置TACACS+服务器详细信息

• 在R2上配置AAA TACACS+服务器IP地址和共享密钥。

注意：尽管 tacacs-server host 和 tacacs-server key 命令已过时，但目前Packet Tracer暂不支持新命令 tacacs server 。此处依然使用旧命令进行配置。

R2(config)# tacacs-server host 192.168.2.2 R2(config)# tacacs-server key tacacspa55

步骤4：为R2的控制台访问配置AAA登录认证

• 启用R2上的AAA，并配置所有登录通过AAA TACACS+服务器进行认证，若服务器不可用，则使用本地数据库。

R2(config)# aaa new-model R2(config)# aaa authentication login default group tacacs+ local

步骤5：配置控制台线路使用定义的AAA认证方法

• 配置控制台登录使用默认的AAA认证方法。

R2(config)#line console 0 R2(config-line)#login authentication default

由于之前已经全局配置了AAA和TACACS+，此处不再需要单独配置console线路。

步骤6：验证AAA认证方法

• 通过AAA TACACS+服务器验证用户EXEC登录。可以尝试从另一设备通过console或SSH等方式登录R2并观察其是否成功通过TACACS+服务器进行身份验证。
  

第四部分：在R3上配置基于RADIUS服务器的AAA认证

步骤1：配置备用本地数据库条目（Admin）

• 为了备份目的，在R3上配置一个本地用户名 Admin3 ，密码为 admin3pa55 。

R3(config)# username Admin3 secret admin3pa55

步骤2：验证RADIUS服务器配置

• 点击RADIUS服务器，并查看“服务”选项卡中的AAA设置。注意其中包含针对R3的网络配置条目和针对Admin3的用户设置条目。

步骤3：在R3上配置RADIUS服务器详细信息

• 在R3上配置AAA RADIUS服务器IP地址和共享密钥。

注意：虽然 radius-server host 和 radius-server key 命令可能已过时，但当前Packet Tracer版本暂不支持新的 radius server 命令。此处仍使用旧命令进行配置。

R3(config)# radius-server host 192.168.3.2 R3(config)# radius-server key radiuspa55

步骤4：为R3的控制台访问配置AAA登录认证

• 启用R3上的AAA，并配置所有登录通过AAA RADIUS服务器进行认证，若服务器不可用，则使用本地数据库。

R3(config)# aaa new-model R3(config)# aaa authentication login default group radius local

步骤5：配置控制台线路使用定义的AAA认证方法

• 配置控制台登录使用默认的AAA认证方法。

R3(config)#line console 0 R3(config-line)#login authentication default

由于之前已经全局配置了AAA和RADIUS，此处不再需要单独配置console线路。

步骤6：验证AAA认证方法

• 通过AAA RADIUS服务器验证用户EXEC登录。可以尝试从另一设备通过console或SSH等方式登录R3并观察其是否成功通过RADIUS服务器进行身份验证。
  

步骤7：检查结果

• 您的完成度应达到100%。点击“检查结果”以查看反馈和已完成所需组件的验证情况。

目标

• 确保将中心交换机（3560型号）设置为根桥。

• 保护生成树协议参数以防止对STP的操控攻击。

• 启用端口安全功能以防止CAM表溢出攻击。

背景/场景

最近网络遭受了一系列攻击。因此，网络管理员已指派您负责配置第二层安全措施。

为了确保网络性能和安全性达到最优状态，管理员希望确定中心3560型号交换机作为根桥。为防止对生成树协议进行篡改攻击，管理员希望确保STP参数得到安全配置。针对CAM表溢出攻击的风险，网络管理员决定配置端口安全策略，限制每个交换机端口学习到的MAC地址数量。一旦学习到的MAC地址超过设定的限制，管理员希望建立机制自动关闭该端口。

所有交换机设备已经预先配置了以下信息：

• 启用密码： ciscoenpa55

• 控制台密码： ciscoconpa55

• SSH用户名及密码： SSHadmin / ciscosshpa55

第一部分：配置根桥

步骤1：确定当前的根桥。

从中心交换机（Central）发出 show spanning-tree 命令，以确定当前的根桥、查看正在使用的端口及其状态。

Central#show spanning-tree

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18

VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    32769
             Address     0009.7C61.9058
             Cost        4
             Port        25(GigabitEthernet0/1)
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
             Address     00D0.D31C.634C
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Gi0/2            Desg FWD 4         128.26   P2p
Gi0/1            Root FWD 4         128.25   P2p
Fa0/1            Desg FWD 19        128.1    P2p

哪个交换机是当前的根桥？

基于当前的根桥，请绘制由此得出的生成树拓扑结构。

步骤2：将Central设置为主根桥。

使用命令 spanning-tree vlan 1 root primary ，将 Central 设置为根桥。

Central(config)#spanning-tree vlan 1 root primary

步骤3：将SW-1设置为备用根桥。

使用命令 spanning-tree vlan 1 root secondary ，将 SW-1 设置为备用根桥。

SW-1(config)#spanning-tree vlan 1 root secondary

步骤4：验证生成树配置。

发出 show spanning-tree 命令来验证Central已成为根桥。

在Central#提示符下执行了该命令后显示如下信息：

1
2
3
4
5
6

VLAN0001
   Spanning tree enabled protocol ieee
   Root ID  Priority      24577
            Address       00D0.D31C.634C
          -->>  This bridge is the root  <<--
            Hello Time  2 sec  Max Age  20 sec   Forward Delay  15 sec

根据上述信息，哪个交换机是当前的根桥？

基于新的根桥设置，请绘制由此得出的生成树拓扑结构。

第二部分：防止STP攻击

步骤1：在所有接入端口上启用PortFast。

PortFast应在连接至单个工作站或服务器的接入端口上配置，以使它们更快地进入活动状态。在SW-A和SW-B的相连接入端口上使用 spanning-tree portfast 命令来启用 PortFast 。

SW-A(config)#int range f0/1-4 SW-A(config-if-range)#spanning-tree portfast

SW-B(config)#int range f0/1-4 SW-B(config-if-range)#spanning-tree portfast

步骤2：在所有接入端口上启用BPDU防护。

BPDU guard是一项功能，可以有助于防止恶意交换机和在接入端口上的欺骗行为。在SW-A和SW-B的接入端口上启用BPDU防护。

注解：为了防止STP报文（BPDU）操纵攻击，在接口配置模式下可以对每个单独端口使用命令 spanning-tree bpduguard enable 来启用BPDU防护；或者在全局配置模式下使用命令 spanning-tree portfast bpduguard default 来默认为所有启用PortFast的端口启用BPDU防护。针对本活动评分目的，请使用 spanning-tree bpduguard enable 命令。

SW-A(config)#int range f0/1-4 SW-A(config-if-range)#spanning-tree bpduguard enable

SW-B(config)#int range f0/1-4 SW-B(config-if-range)#spanning-tree bpduguard enable

步骤3：启用根保护。

根保护可以在非根端口的所有交换机端口上启用，最好部署在连接到其他非根交换机的端口上。使用 show spanning-tree 命令确定每个交换机上根端口的位置。

在SW-1上，在端口F0/23和F0/24上启用根保护。同样，在SW-2上，在端口F0/23和F0/24上也启用根保护。

SW-1(config)#int range f0/23-24 SW-1(config-if-range)#spanning-tree guard root

SW-2(config)#int range f0/23-24 SW-2(config-if-range)#spanning-tree guard root

第三部分：配置端口安全并禁用未使用端口

步骤1：在连接到主机设备的所有端口上配置基本端口安全。

此操作应在SW-A和SW-B的所有接入端口上执行。设置允许学习的MAC地址最大数量为 2 ，允许动态学习MAC地址，并将违规处理方式设为 shutdown （关闭）。

注解：只有当交换机端口配置为接入模式时，才能启用端口安全功能。

SW-A(config)#interface range f0/1 - 22 SW-A(config-if-range)#switchport mode access SW-A(config-if-range)#switchport port-security SW-A(config-if-range)#switchport port-security maximum 2 SW-A(config-if-range)#switchport port-security violation shutdown SW-A(config-if-range)#switchport port-security mac-address sticky

SW-B(config)#interface range f0/1-22 SW-B(config-if-range)#switchport mode access SW-B(config-if-range)#switchport port-security max SW-B(config-if-range)#switchport port-security maximum 2 SW-B(config-if-range)#switchport port-security violation shutdown SW-B(config-if-range)#switchport port-security mac-address sticky

为什么与其它交换机设备相连的端口不启用端口安全？

步骤2：验证端口安全配置。

a. 在SW-A上，输入命令 show port-security interface f0/1 来确认已成功配置了端口安全。

SW-A#show port-security int f0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0000.0000:0 Security Violation Count : 0

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

SW-A# show port-security interface f0/1
端口安全              : 已启用
端口状态                : 安全且已启动
违规模式             : 关闭端口
老化时间                 : 0分钟
老化类型                 : 绝对时间
静态安全MAC地址老化: 禁用
最大MAC地址数      : 2
总MAC地址数        : 0
已配置MAC地址数   : 0
粘性MAC地址数       : 0
最近源地址:VLAN   : 0000.0000.0000:0
安全违规计数         : 0

b. 从C1向C2发送Ping请求，然后再次输入 show port-security interface f0/1 命令，以验证交换机是否已学会C1的MAC地址。

步骤3：禁用未使用的端口。

禁用当前所有未使用的端口。

SW-A(config)#int range f0/5-22 SW-A(config-if-range)#shutdown

SW-B(config)#int range f0/5-22 SW-B(config-if-range)#shutdown

步骤4：检查结果。

您的完成度应为100%。点击“检查结果”查看反馈信息以及所需组件完成情况的验证。

实验脚本：

Central:

1
2

! 使Central成为Vlan1的根桥
spanning-tree vlan 1 root primary

SW-1:

1
2
3
4
5
6

! 使SW-1成为Vlan1的次根桥
spanning-tree vlan 1 root secondary
! 进入f0/23-f0/24端口
interface range fastEthernet 0/23 - fastEthernet 0/24
! 启用STP根防护功能，在此端口不接受拥有更优BID的BPDU报文
spanning-tree guard root 

SW-2:

1
2
3
4

! 进入f0/23-f0/24端口
interface range fastEthernet 0/23 - fastEthernet 0/24
! 启用STP根防护功能，在此端口不接受拥有更优BID的BPDU报文
spanning-tree guard root 

SW-A:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20

! 选择接入的端口，F0/1-F0/4
interface range fastEthernet 0/1 - fastEthernet 0/4
! 让F0/1-F0/4端口开启portfast（不参与生成树）
spanning-tree portfast 
! 为他们启用BPDU防护功能，在此端口不接受BPDU；收到BPDU，端口禁用
spanning-tree bpduguard enable 
! 开启access模式
switchport mode access
! 开启端口安全
switchport port-security 
! 设置最大Mac学习数为2
switchport port-security maximum 2
! 设置学习到的Mac地址将被保存
switchport port-security mac-address sticky 
! 设置超过措施：关闭端口
switchport port-security violation shutdown 
! 进入不使用的端口
interface range fastEthernet 0/5 - fastEthernet 0/22
! 关闭
shutdown

SW-B:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20

! 选择接入的端口，F0/1-F0/4
interface range fastEthernet 0/1 - fastEthernet 0/4
! 让F0/1-F0/4端口开启portfast（不参与生成树）
spanning-tree portfast 
! 为他们开启BPDU
spanning-tree bpduguard enable 
! 开启access模式
switchport mode access
! 开启端口安全
switchport port-security 
! 设置最大Mac学习数为2
switchport port-security maximum 2
! 设置学习到的Mac地址将被保存
switchport port-security mac-address sticky 
! 设置超过措施：关闭端口
switchport port-security violation shutdown 
! 进入不使用的端口
interface range fastEthernet 0/5 - fastEthernet 0/22
! 关闭
shutdown

地址表

目标

第一部分：配置、应用并验证一个编号扩展访问控制列表（Extended ACL）

第二部分：配置、应用并验证一个命名扩展访问控制列表（Extended Named ACL）

背景/场景

两位员工需要访问由服务器提供的服务。PC1只需要FTP访问权限，而PC2仅需Web访问权限。两台计算机都能ping通服务器，但彼此之间不能互相ping通。

第一部分：配置、应用并验证一个编号扩展访问控制列表

步骤 1：配置ACL以允许FTP和ICMP流量

a. 在R1的全局配置模式下，输入以下命令确定扩展访问列表的第一个有效编号。

R1(config)# access-list ? <1-99> IP标准访问列表 <100-199> IP扩展访问列表

b. 向命令中添加数字100后跟问号。

R1(config)# access-list 100 ? deny 拒绝指定的数据包 permit 允许转发指定的数据包 remark 访问列表条目注释

c. 为了允许FTP流量，在“permit”后面输入问号。

R1(config)# access-list 100 permit ? ahp 认证报头协议 eigrp 思科 EIGRP 路由协议 esp 封装安全负载 gre 思科 GRE 隧道 icmp Internet 控制消息协议 ip 任意 Internet 协议 ospf OSPF 路由协议 tcp 传输控制协议 udp 用户数据报协议

d. 此ACL允许FTP和ICMP流量。虽然ICMP已列出，但FTP未列出，因为FTP使用TCP协议。因此，输入“tcp”进一步细化ACL帮助信息。

R1(config)# access-list 100 permit tcp ? A.B.C.D 源地址 any 任意源主机 host 单个源主机

e. 注意可以通过使用“host”关键字仅过滤PC1的流量，或者允许任何主机。在本例中，允许任何属于172.22.34.64/27网络地址范围内的设备。输入网络地址后跟问号。

R1(config)# access-list 100 permit tcp 172.22.34.64 ? A.B.C.D 源通配符位

f. 计算通配符掩码，通过计算子网掩码的二进制相反数。

255.255.255.224 = 11111111.11111111.11111111.11100000 0.0.0.31 = 00000000.00000000.00000000.00011111

g. 输入通配符掩码后跟问号。

R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 ? A.B.C.D 目的地址 any 任意目的主机 eq 仅匹配给定端口号上的数据包 gt 仅匹配具有较大端口号的数据包 host 单个目的主机 lt 仅匹配具有较小端口号的数据包 neq 仅匹配非给定端口号上的数据包 range 仅匹配端口号范围内的数据包

h. 配置目标地址。在此场景中，我们正在为单个目标（即服务器）过滤流量。输入“host”关键字后跟服务器的IP地址。

R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 ? dscp 匹配具有给定 dscp 值的数据包 eq 仅匹配给定端口号上的数据包 established 已建立 gt 仅匹配有更大端口号的数据包 lt 仅匹配有更小端口号的数据包 neq 仅匹配不具有给定端口号的数据包 precedence 匹配具有给定优先级值的数据包 range 仅匹配端口号范围内的数据包

i. 注意其中一个选项是（回车）。换句话说，您可以按Enter键，该语句将允许所有TCP流量。然而，我们只允许FTP流量；因此，输入“eq”关键字后跟问号以显示可用选项。然后输入“ftp”并按Enter。

R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp

j. 创建第二个访问列表语句以允许从PC1到Server的ICMP（ping等）流量。注意，访问列表编号保持不变，并且不需要指定特定类型的ICMP流量。

R1(config)# access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62 <0-65535> 端口号 ftp 文件传输协议 (21) pop3 邮局协议 v3 (110) smtp 简单邮件传输协议 (25) telnet Telnet (23) www 万维网（HTTP，80）

k. 默认情况下，所有其他流量都将被拒绝。

步骤 2：在正确接口上应用ACL以过滤流量

从R1的角度看，ACL 100应用于与Gigabit Ethernet 0/0接口相连的网络中的入站流量。进入接口配置模式并应用ACL。

R1(config)# interface gigabitEthernet 0/0 R1(config-if)# ip access-group 100 in

步骤 3：验证ACL实现

a. 从PC1 ping Server。如果无法成功ping通，请先验证IP地址是否正确。

b. 从PC1 FTP至Server。用户名和密码均为cisco。

PC> ftp 172.22.34.62

c. 退出Server上的FTP服务。

ftp> quit

d. 从PC1 ping PC2。由于未明确允许此流量，目标主机应无法到达。

第二部分：配置、应用并验证一个命名扩展访问控制列表

步骤 1：配置ACL以允许HTTP访问和ICMP

a. 命名ACL以“ip”关键字开始。在R1的全局配置模式下，输入以下命令后跟问号。

R1(config)# ip access-list ? extended 扩展访问列表 standard 标准访问列表

b. 您可以配置命名的标准和扩展ACL。由于此访问列表需要过滤源和目标IP地址，因此必须是扩展类型。将名称设为 HTTP_ONLY （请注意，在Packet Tracer中评分时，名称区分大小写）。

R1(config)# ip access-list extended HTTP_ONLY

c. 提示符会改变。现在您处于扩展命名ACL配置模式。PC2 LAN上的所有设备都需要TCP访问权限。输入网络地址后跟问号。

R1(config-ext-nacl)# permit tcp 172.22.34.96 ? A.B.C.D 源通配符位

d. 另一种计算通配符的方法是从255.255.255.255减去子网掩码：

R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 ?

e. 完成语句，指定服务器地址，并筛选www流量，如同第一部分操作一样。

R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www

f. 创建第二个访问列表语句，允许从PC2到Server的ICMP（ping等）流量。注意：提示符保持不变，此处无需指定特定类型的ICMP流量。

R1(config-ext-nacl)# permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62

g. 默认情况下，所有其他流量都将被拒绝。退出扩展命名ACL配置模式。

步骤 2：在正确接口上应用ACL以过滤流量

从R1的角度看，访问列表HTTP_ONLY应用于与Gigabit Ethernet 0/1接口相连的网络中的入站流量。进入接口配置模式并应用ACL。

R1(config)# interface gigabitEthernet 0/1 R1(config-if)# ip access-group HTTP_ONLY in

步骤 3：验证ACL实现

a. 从PC2 ping Server。如果ping成功，则继续进行下一步；如果不成功，请先验证IP地址是否正确。

b. 从PC2通过FTP连接到Server。连接应该失败。

c. 在PC2上打开网页浏览器，将Server的IP地址作为URL输入。连接应该成功建立。

目标

• 在SW-1和SW-2之间建立新的冗余链路。

• 在新连接的SW-1和SW-2之间的干线链路上启用中继并配置安全措施。

• 创建一个新的管理VLAN（VLAN 20）并将一台管理PC连接到该VLAN。

• 实施ACL以防止外部用户访问管理VLAN。

背景/场景

一家公司的网络当前使用两个独立的VLAN：VLAN 5和VLAN 10。此外，所有干线端口都已配置为本征VLAN 15。网络管理员希望在交换机SW-1和SW-2之间添加一条冗余链路。这条链路必须启用中继功能，并确保所有必要的安全设置到位。

此外，网络管理员还希望将一台管理PC连接到交换机SW-A。管理员希望这台管理PC能够连接到所有交换机及路由器，但不希望任何其他设备能够连接到管理PC或这些交换机上。因此，管理员计划创建一个新的VLAN 20用于管理目的。

所有设备已经预先配置了以下信息：

• 启用密码： ciscoenpa55

• 控制台密码： ciscoconpa55

• SSH用户名及密码： SSHadmin / ciscosshpa55

第一部分：验证连通性

步骤1：验证C2（VLAN 10）与C3（VLAN 10）之间的连通性。

步骤2：验证C2（VLAN 10）与D1（VLAN 5）之间的连通性。 注：如果使用简易PDU GUI包，请确保ping两次以允许ARP过程完成。

第二部分：在SW-1和SW-2之间创建冗余链路

步骤1：连接SW-1和SW-2。

使用交叉线缆将SW-1的F0/23端口与SW-2的F0/23端口相连。

步骤2：在SW-1和SW-2之间的链路上启用干线功能，包括所有干线安全机制。

已预先配置了所有现存干线接口的干线功能。新链接必须设置为干线，并包括所有干线安全机制。在SW-1和SW-2上，将端口设置为干线模式，将本征VLAN 15分配给干线端口，并禁用自动协商功能。

SW-1(config)#interface f0/23 SW-1(config-if)#switchport mode trunk SW-1(config-if)#switchport trunk native vlan 15 SW-1(config-if)#switchport nonegotiate SW-1(config-if)#no shutdown

SW-2(config)#interface f0/23 SW-2(config-if)#switchport mode trunk SW-2(config-if)#switchport trunk native vlan 15 SW-2(config-if)#switchport nonegotiate SW-2(config-if)#no shutdown

第三部分：启用VLAN 20作为管理VLAN

网络管理员希望通过管理PC访问所有交换机和路由设备。出于安全原因，管理员希望确保所有受管设备都在一个独立的VLAN中。

步骤1：在SW-A上启用管理VLAN（VLAN 20）。

a. 在SW-A上启用VLAN 20。

SW-A(config)#vlan 20 SW-A(config-vlan)#exit

b. 创建VLAN 20接口并在192.168.20.0/24网络内分配一个IP地址。

SW-A(config)#interface vlan 20 SW-A(config-if)#ip address 192.168.20.1 255.255.255.0

步骤2：在所有其他交换机上启用相同的管理VLAN。

a. 在SW-B、SW-1、SW-2和中央交换机上创建管理VLAN。

Central(config)#vlan 20 Central(config-vlan)#exit

SW-1(config)#vlan 20 SW-1(config-vlan)#exit

SW-2(config)#vlan 20 SW-2(config-vlan)#exit

SW-B(config)#vlan 20 SW-B(config-vlan)#exit

b. 在所有交换机上创建VLAN 20接口，并在192.168.20.0/24网络内分配一个IP地址。

Central(config)#int vlan 20 Central(config-if)#ip address 192.168.20.2 255.255.255.0

SW-1(config)#int vlan 20 SW-1(config-if)#ip address 192.168.20.3 255.255.255.0

SW-2(config)#int vlan 20 SW-2(config-if)#ip address 192.168.20.4 255.255.255.0

SW-B(config)#int vlan 20 SW-B(config-if)#ip address 192.168.20.5 255.255.255.0

步骤3：连接并配置管理PC。

将管理PC连接到SW-A的F0/1端口，并确保为其分配192.168.20.0/24网络内的可用IP地址。

步骤4：在SW-A上确保管理PC属于VLAN 20。

接口F0/1必须是VLAN 20的一部分。

SW-A(config)#int f0/1 SW-A(config-if)#switchport access vlan 20 SW-A(config-if)#no shutdown

步骤5：验证管理PC与所有交换机之间的连通性 。

管理PC应能成功ping通SW-A、SW-B、SW-1、SW-2和中央交换机。

第四部分：使管理PC能够访问路由器R1

步骤1：在路由器R1上启用新的子接口。

a. 创建子接口 g0/0.3 ，并设置封装类型为 dot1q 20 ，以便支持VLAN 20。

R1(config)#int g0/0.3 R1(config-subif)#encapsulation dot1Q 20

b. 分配192.168.20.0/24网络内的IP地址。

R1(config)#int g0/0.3 R1(config-subif)#ip address 192.168.20.100 255.255.255.0

步骤2：验证管理PC与R1之间的连通性。

务必在管理PC上配置默认网关以实现连通性。

步骤3：启用安全性。

虽然管理PC必须能够访问路由器，但其他任何PC都不应能够访问管理VLAN。

a. 创建只允许管理PC访问路由器的ACL。

R1(config)#access-list 101 deny ip any 192.168.20.0 0.0.0.255 R1(config)#access-list 101 permit ip any any R1(config)#access-list 102 permit ip host 192.168.20.6 any

b. 将ACL应用到适当的接口上。

R1(config)#int g0/0.1 R1(config-subif)#ip access-group 101 in R1(config-subif)#int g0/0.2 R1(config-subif)#ip access-group 101 in

R1(config)#line vty 0 4 R1(config-line)#access-class 102 in

注：可以有多种方式创建ACL来满足必要的安全要求。因此，该活动这一部分的评分基于正确的连通性需求。管理PC必须能够连接到所有交换机和路由器，而所有其他PC则不能连接到管理VLAN内的任何设备。

步骤4：验证安全性。

a. 验证只有管理PC可以访问路由器。使用SSH从管理PC通过用户名SSHadmin和密码ciscosshpa55登录R1。

PC> ssh -l SSHadmin 192.168.20.100

b. 从管理PC尝试ping SW-A、SW-B和R1，是否成功？请解释结果。

VLAN20 中的设备不需要通过路由器进行路由，不受ACL的影响。

c. 从D1尝试ping管理PC，是否成功？请解释结果。

不同 VLAN 中的设备 ping VLAN20 中的设备，必须进行路由，而路由器具有阻止所有数据包访问 192.168.20.0 目标网络的 ACL。

步骤5：检查结果。

您的完成度应该为100%。点击“检查结果”查看反馈信息以及已完成的必要组件验证。

如果所有组件都看似正确，但活动仍显示未完成，则可能是由于验证ACL操作的连通性测试出现问题。

实验脚本：

Part 2:

SW-1、SW-2

1
2
3
4
5
6
7

连接SW-1、SW-2，使用交叉线路，要开端口
连接SW-A、PC，要开端口
interface f0/23
switchport mode trunk
switchport trunk native vlan 15
switchport nonegotiate
no shutdown

Part 3：

SW-A：

1
2
3

int f0/1
switchport access vlan 20
no shutdown

SW-1：

1
2
3
4

int f0/23
switchport trunk native vlan 15
switchport mode trunk 
switchport nonegotiate

SW-2:

1
2
3
4

int f0/23
switchport trunk native vlan 15
switchport mode trunk 
switchport nonegotiate

SW-A、B、1、2、Central：

1
2
3

vlan 20
int vlan 20
ip address 192.168.20.XXX 255.255.255.0

Part 4:

R1：

1
2
3

int g0/0.3
encapsulation dot1Q 20
ip address 192.168.20.20 255.255.255.0

R1：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

access-list 101 deny ip any 192.168.20.0 255.255.255.0
access-list 101 permit ip any any 
access-list 102 permit ip host 192.168.20.6 any 

int g0/0.1
ip access-group 101 in 

int g0/0.2
ip access-group 101 in 

line vty 0 4
access-class 102 in

PC：

1

ssh -l SSHadmin 192.168.20.20