1、 1、 公司内部人员不会配置IP地址,在SWA上配置DHCP服务,为PCC与PCB分配IP地址,PCC的地址段为192.168.10.0/24网段,PCB的地址段为192.168.11.0/24网段。
SWA:
SWA(config)#service dhcp //启用dhcp服务
SWA(config)#ip dhcp pool PC // 定义一个地址池
SWA(dhcp-pc-config)#network-address 192.168.10.0 24 //地址段
SWA(dhcp-pc-config)#lease 0 8 0 //租用时间8小时
SWA(dhcp-pc-config)#default-router 192.168.10.254 //设置默认网关
SWA(config)#int vlan 1
SWA(config-if-vlan1)#ip address 192.168.10.1 255.255.255.0 //需和地址池同一网段
SWA(config)#service dhcp //启用dhcp服务
SWA(config)#ip dhcp pool PB // 定义一个地址池
SWA(dhcp-pc-config)#network-address 192.168.20.0 24 //地址段
SWA(dhcp-pc-config)#lease 0 3 0 //租用时间3小时
SWA(dhcp-pc-config)#default-router 192.168.20.254 //设置默认网关
2、 由于内网用户不会设置IP地址,在内网接入层交换机SWB上设置DHCP服务,方便内网用户的使用。其中PCC用户会设置IP地址,所以PCC使用静态IP地址。设置网段为:192.XX.20.0/24网段。
SWB:
SWB(config)#service dhcp //启用dhcp服务
SWB(config)#ip dhcp pool PB // 定义一个地址池
SWB(dhcp-pc-config)#network-address 192.168.20.0 24 //地址段
SWB(dhcp-pc-config)#lease 0 3 0 //租用时间3小时
SWB(dhcp-pc-config)#default-router 192.168.20.254 //设置默认网关
SWB(config)#int vlan 1
SWB(config-if-vlan1)#ip address 192.168.20.254 255.255.255.0
3、 为保证内网终端安全,要求内网所有用户的MAC地址与接入交换机SWB接口进行绑定,至少使用两种方法进行绑定。
SWB:
SWB(config)#interface ethernet 0/0/5 //进入接口模式
SWB(config-if-ethernet0/0/5)#switchport port-security //启用安全方式
SWB(config-if-ethernet0/0/5)#switchport port-security lock //锁定端口
SWB(config-if-ethernet0/0/5)#switchport port-security mac-address 18-a9-05-dd-94-45 //绑定MAC地址
注:MAC地址绑定之后只有绑定的接口能与管理地址Ping通,其他的接口不能。
SWB(config)#ip dhcp snooping enable //启动dhcp侦听功能
SWB(config)#ip dhcp snooping binding enable //启动DHCP Snooping绑定功能
SWB(config)#ip dhcp snooping binding user 18-A9-05-DD-94-95 address 192.168.1.110 255.255.255.0 vlan 1
SWB(config)#interface ethernet 0/0/5
SWB(Config-Ethernet0/0/11)#ip dhcp snooping trust
4、 进一步保证内网安全,在接入层交换机SWB的1-8接口配置端口隔离。
SWB:
SWB(config)#isolate-port group 1 //建立隔离组
SwitchB(config)#isolate-port group 1 switchport interface ethernet 0/0/1-8 //对1-8号端口进行隔离
5、 由于内部人员总是下载数据,所以将内部的PCB进行流量限制,流量限制在5M/s。在内网接入层设备SWB上配置。
SWB:
SWB(config)#interface ethernet 0/0/7 //进入接口模式
SWB(config-if-ethernet0/0/7)#bandwidth control 5000 both //设置宽
带流量
6、 在RS上开启端口镜像,将0/1与0/10的数据镜像到0/5上。同时在SWA上开启端口镜像,将0/1的数据镜像到0/2上。使用DCNIDS监控内网所有HTTP数据包,并将所捕获的数据生成报告。将IDS服务器架设到某台PC上,并提供搭建成功IDS正常运行截图与所生成的风险评估柱状图报表
RS:
RS(config)#monitor session 1 source interface ethernet 1/1;1/10 both
RS(config)#monitor session 1 destination interface ethernet 1/5
SWA:
SWA(config)#monitor session 1 source interface ethernet 0/0/1 both
SWA(config)#monitor session 1 destination interface ethernet 0/0/2
7、 由于PCC用户上班时间总是浏览与工作无关网页,所在在RS上设置在早9点至晚6点期间不允许PCC登录互联网,其他时间可以。
RS(config)#time-range 1 // 定义一个时间范围并取名
RS(config-time-range-1)#periodic daily 09:00:00 to 18:00:00 //定义范围
RS(config)#ip access-list extended nointernet //配置拓展ACL
RS(config-ip-ext-nacl-nointernet)#deny ip host-source 192.168.10.1 any-destination time-range 1 //配置在9点到18点范围内拒绝来自PCC到外网的所有数据
8、 要求在SWA上设置,将PCB的MAC 地址、IP地址与SWA绑定
SWA:(三元组绑定)
SWA(config)#ip dhcp snooping enable //启动DHCP Snooping功能
SWA(config)#ip dhcp snooping binding enable //启动DHCP Snooping绑定功能
SWA(config)#ip dhcp snooping binding user 18-A9-05-DD-94-45 address 192.168.1.110 255.255.255.0 vlan 1 interface ethernet 0/0/5
9、 由于PCA的员工经常在公司下载电影,占用带宽,所以要限制PCA的流量带宽
通过Qos,在SWA上设置PCA 的流量不能超过5M
SWA:
SWB(config)#ip access-list extended ftp //建立一条防问控制列表
SWB(config-ip-ext-nacl-ftp)#permit tcp 192.168.1.2 0.0.0.255 any-destination //允许一台主机到任何目的
SWB(config)#mls qos //启用Qos
SWB(config)#class-map 5m //配置匹配列表
SWB(config-classmap-5m)#match access-group ftp
SWB(config)#policy-map 5m //建立策略
SWB(config-policymap-5m)#class 5m //策略匹配列表
SWB(config-policymap-5m-class-5m)#polic 5000 3000 exceed-action drop
SWB(config)#interface ethernet 0/0/2 //进入接口模式
SWB(config-if-ethernet0/0/2)#service-policy input 5m //接口应用策略
10、 总公司网络内总有ARP病毒捣乱,为了防止此情况,在SWB开启防ARP扫描,针对9-15接口。
SWB:
SWB(config)#anti-arpscan enable //启动ARP扫描功能
SWB(config)#interface ethernet 0/0/9-15 //进入端口配置模式
SWB(config-if-port-range)#anti-arpscan trust port //设置为ARP信任端口
11、 为了内网安全,在SWB上将PCC,PCB的IP,MAC绑定
SWB:
SWB(config)#interface ethernet 0/0/9
SWB(config-if-ethernet0/0/9)#switchport port-security //启动安全相关命令
SWB(config-if-ethernet0/0/9)#switc
hport port-security lock //启动安全锁定
SWB(config-if-ethernet0/0/9)#switchport port-security mac-address 18-A9-05-DD-94-45 //绑定MAC地址
SWB(config)#interface ethernet 0/0/10
SWB(config-if-ethernet0/0/10)#switchport port-security //启动安全相关命令
SWB(config-if-ethernet0/0/10)#switchport port-security lock //启动安全锁定
SWB(config-if-ethernet0/0/10)#switchport port-security mac-address 18-A9-05-DD-94-45 //绑定MAC地址
12、 分公司A属于SWA,在SWA上所有up的端口开启环路检测
SWA:
SWA(config)#interface ethernet 0/0/1-8 //进入端口配置模式
SWA(config-if-port-range)#loopback-detection specified-vlan 1 //开启环路检测
13、 为了保证分公司A的内部安全,在SWA上将PCA与PCB所在的端口进行端口隔离。
SWA:
SWA(config)#isolate-port group 1 //建立隔离组
SWA(config)#isolate-port group 1 switchport interface ethernet 0/0/2 ;0/0/4
14、 PCD用户不会设置IP地址,所以在FWB上开启DHCP,RS开启DHCP中继,为PCD分配IP地址。将FWB的DHCP配置过程进行截图。
RS:
RS(config)#ip forward-protocol udp bootps
RS(config)#int vlan 10 //进入vlan模式
RS(config-if-vlan10)#ip helper-address 192.168.1.1 //中继代理服务器地址15、 SWB与RS之间有端口汇聚;配置以后可以相互学习vlan信息。
SWB:
SWB(config)#port-group 2
SWB(config)#int ethernet 0/0/23-24
SWB(config-if-port-range)#port-group 2 mode passive
RS:
RS(config)#port-group 2
RS(config)#int ethernet 0/0/23-24
RS(config-if-port-range)#port-group 2 mode active
RS(config)#interface port-channel 1
RS(config-if-port-channel1)#switchport mode trunk
16、 SWA上开启DHCP服务,为vlan100的主机分配地址与默认网关,为PC1固定分配192.xxx.100.10,地址租期永久有效。
SWA:
SWA(config)#interface vlan 100
SWA(config-if-vlan1)#ip address 192.168.100.1 255.255.255.0
SWA(config)#ip dhcp excluded-address 192.168.100.254
SWA(config)#ip dhcp excluded-address 192.168.100.1
SWA(config)#service dhcp
SWA(config)#ip dhcp pool A
SWA(dhcp-a-config)#network-address 192.168.100.0 24
SWA(dhcp-a-config)#lease 3
SWA(dhcp-a-config)#default-router 192.168.100.254
SWA(config)#ip dhcp pool B
SWA(dhcp-b-config)#host 192.168.100.10 24
SWA(dhcp-b-config)#hardware-address 00-03-0D-E0-01-0D
SWA(dhcp-b-config)#lease infinite
SWA(dhcp-b-config)#default-router 192.168.100.254
17、 配置SWA的端口 F0/0/5上,将属于网段 10.xxx.80.0 内的报文带宽限制为 10M 比特/秒,突发值设为 4M 字节,超过带宽的该网段内的报文一律丢弃。
SWA:
SWA(config)#ip access-list extended ftp //建立访问控制列表
SWA(config-ip-ext-nacl-ftp)#permit tcp 192.168.80.0 0.0.0.255 any-destination //建立规则
SWA(config)#mls qos //启动Qos 功能
SWA(config)#class-map 1 //建立匹配列表
SWA(config-classmap-1)#match access-group ftp //匹配访问列表
SWA(config)#policy-map 1 //建立策略
SWA(config-policymap-1)#class 1 //策略匹配列表
SWA(config-policymap-1-class-1)#policy 10000 4000 exceed-action drop
SWA(config)#interface ethernet 0/0/5 //进入接口模式
SWA(config-if-ethernet0/0/5)#service-policy input 1 //应用于接口