思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)
(2024年)cisco交换机配置培训
01
02
03
04
Web界面登录
介绍如何通过Web浏览器登 录交换机管理界面。
管理功能
提供设备管理、接口管理、路 由管理、安全管理等多种管理
功能。
配置向导
提供配置向导功能,可快速完 成常用配置任务。
监控与日志
支持实时监控设备状态、查看 系统日志等功能,方便故障排
查和性能分析。
2024/3/26
14
04
01
02
03
固定配置交换机
适用于小型网络,提供有 限的端口数量和固定配置 。
2024/3/26
模块化交换机
支持热插拔模块,提供更 高的端口密度和灵活性, 适用于中大型企业网络。
堆叠式交换机
支持多台交换机堆叠,简 化管理和布线,提高网络 可靠性。
8
主要性能指标与参数
端口数量和类型
支持多种类型的端口,包括以 太网、快速以太网、千兆以太
28
Cisco交换机STP配置步骤
```
2024/3/26
4. 调试STP:如果需要调试STP,可以使用以下命令启用调试 功能
29
Cisco交换机STP配置步骤
```arduino
debug spanning-tree events //显示STP事件
debug spanning-tree packets //显示STP数据包
2024/3/26
4
交换机工作原理
交换机工作于OSI参考模型的第二层 ,即数据链路层。
交换机内部的CPU会在每个端口成功 连接时,通过将MAC地址和端口对应 ,形成一张MAC表。在今后的通讯中 ,发往该MAC地址的数据包将仅送往 其对应的端口,而不是所有的端口。 因此,交换机可用于划分数据链路层 广播,即冲突域;但它不能划分网络 层广播,即广播域。
cisco交换机的端口安全配置
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】【实验名称】交换机的端口安全配置。
【实验目的】掌握交换机的端口安全功能,控制用户的安全接入。
【背景描述】你是一个公司的网络管理员,公司要求对网络进行严格控制。
为了防止公司内部用户的IP当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。
【实现功能】针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。
【实验设备】S2126G交换机(1台),PC(1台)、直连网线(1条)【实验拓扑】图 26【实验步骤】步骤1. 配置交换机端口的最大连接数限制。
Switch#configure terminalSwitch(config)#interface range fastethernet 0/1-23 ! 进行一组端口的配置模式Switch(config-if-range)#switchport port-security!开启交换机的端口安全功能Switch(config-if-range)#switchport port-secruity maximum 1! 配置端口的最大连接数为1Switch(config-if-range)#switchport port-secruity violation shutdown !配置安全违例的处理方式为shutdown验证测试:查看交换机的端口安全配置。
Switch#show port-securitySecure Port MaxSecureAddr(count) CurrentAddr(count) Security Action------------------------------------------------------------------Fa0/1 1 0ShutdownFa0/2 1 0ShutdownFa0/3 1 0ShutdownFa0/4 1 0ShutdownFa0/5 1 0ShutdownFa0/6 1 0 ShutdownFa0/7 1 0 ShutdownFa0/8 1 0 ShutdownFa0/9 1 0 ShutdownFa0/10 1 0Fa0/20 1 0 ShutdownFa0/21 1 0 ShutdownFa0/22 1 0 ShutdownFa0/23 1 0 Shutdown步骤2. 配置交换机端口的地址绑定。
思科模拟器交换机与路由器配置实验汇总
交换机的基本配置与管理
交换机的基本配置与管理 交换机的端口配置与管理 交换机的Telnet远程登陆配置 交换机的端口聚合配置 交换机划分Vlan配置 三层交换机基本配置 利用三层交换机实现VLAN间路由 快速生成树配置
1、交换机的基本配置与管理
技术原理: 交换机的管理方式基本分为两种:带内管理和带外管理。 通过交换机的Console端口管理交换机属于带外管理;这种管理方式不
关键命令行: conf t router rip network 192.168.1.0 network 192.168.3.0 //与该路由直接相连的网段 version 2
OSPF动态路由配置
OSPF(Open Shortest Path First开放式最短路径优先)是目前网路中 应用最广泛的路由协议之一。属于内部网管路由协议,能够适应各种规模 的网络环境,是典型的链路状态协议。OSPF路由协议通过向全网扩散本设 备的链路状态信息,使网络中每台设备最终同步一个具有全网链路状态的 数据库,然后路由器采用SPF算法,以自己为根,计算到达其他网络的最 短路径,最终形成全网路由信息。
交换机划分Vlan配置
概念: VLAN是指在一个物理网段内。进行逻辑的划分,划分成若干 个虚拟局域网。
特性: 不受物理位置的限制,可以进行灵活的划分。VLAN具备了一 个物理网段所具备的特性。相同VLAN内的主机可以相互直接通信,不同 VLAN间的主机之间互相访问必须经路由设备进行转发,广播数据包只可以 在本VLAN内进行广播,不能传输到其他VLAN中。
查看交换机的相关配置: 查看当前生效的配置信息(show running-config) 查看保存在NVRAM中的启动配置信息(show startup-config) 查看端口信息 Switch#show interface 查看交换机的MAC地址表Switch#show mac-address-table
思科交换机端口安全(Port-Security)
思科交换机端口安全(Port-Security)Cisco Catalyst交换机端口安全(Port-Security)1、Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。
2、Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac 地址与端口绑定以及mac地址与ip地址绑定。
3、以cisco3550交换机为例做mac地址与端口绑定的可以实现两种应用:a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。
b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。
4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
5、实现方法:针对第3条的两种应用,分别不同的实现方法a、接受第一次接入该端口计算机的mac地址:Switch#config terminalSwitch(config)#inte**ce inte**ce-id 进入需要配置的端口Switch(config-if)#switchport mode access 设置为交换模式Switch(config-if)#switchport port-security 打开端口安全模式Switch(config-if)#switchport port-security violation {protect |restrict | shutdown }//针对非法接入计算机,端口处理模式{丢弃数据包,不发警告| 丢弃数据包,在console发警告| 关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。
思科DHCPSnooping技术的网络安全管理方案
• 51•随着网络规模扩大和拓扑结构的适当调整,IP地址更多的是以动态分配形式为主。
不过实际生活中存在许多的IP地址盗用、ARP 病毒攻击等现象,究其原因就是用户比较多、地理位置较为分散以及随机性太强,进而造成网络安全管理工作的巨大困扰。
本文结合思科DHCP Snooping(DHCP 监听)、DAI(ARP 检测)、IPSG(IP 源地址防护)等技术探究合理的网络安全管理方案。
21世纪以来,互联网技术日益更新,在为人们带来许多生活便利的同时,还隐藏着网络安全的隐患。
我们急需对网络安全情况引起重视,在享受网络的便利同时提高防范心理。
那么,如何解决这一安全问题呢?要始终坚持“安全第一,预防为主”的指导策略,做好前期防范工作和事中援救事宜,根据预测、分析与防治工作出具应急预案,将可能出现的网络安全问题的解决处理办法的重点落在准确性与便捷性上,提高应急处置能力,最大限度地减少网络安全危机的发生及其不良后果。
1 网络安全日常管理日常管理是网络安全工作的基础,改进平时的管理,必须不断增强安全防范意识:网络管理员和所有员工都要高度重视网络安全,时刻保持警觉,决不松懈,共同为网络筑起一道“防护墙”。
其日常管理有以下基本规则。
(1)要确保内部局域网和外网严格执行物理隔离。
对局域网中的每一个用户来说,在进入到局域网之前,系统必须进行补丁下载,并且在进入到局域网之前对病毒进行杀毒。
每台PC都要经过实名认证,并将IP地址和MAC地址相关联。
(2)要安装杀毒软件:每个网络服务器、电脑等设施对有关杀毒软件的配备上是具有必要性的,使用者在固定周期内进行软件升级和杀毒操作。
在紧急情况下,客户使用端口会被迫进行升级与杀毒操作。
(3)要做好密码设置工作:指定计算机设备,如局域网中连接外网的计算机服务器、门户网、网络服务器、远程服务器等,必须设置不同的登录密码,这一密码最好的设置是由数字、26个英文字母及标点符号构成,长度为12位数,定期删除和更换设备的登录密码。
CISCO交换机基本配置和使用概述
CISCO交换机基本配置和使用概述CISCO交换机是一种常用的网络设备,用于构建局域网(Local Area Network,LAN)。
它可以通过物理线路的连接,将多台计算机或其他网络设备连接到同一个网络中,实现数据的传输和共享。
CISCO交换机的基本配置包括IP地址的配置、VLAN的配置、端口配置、安全性配置等。
接下来,我们将对这些配置进行详细说明。
首先,IP地址的配置是CISCO交换机的基本操作之一。
通过配置IP地址,我们可以对交换机进行管理和监控。
具体的配置步骤如下:1. 进入交换机的配置模式。
在命令行界面输入"enable"命令,进入特权模式。
2. 进入全局配置模式。
在特权模式下输入"configure terminal"命令,进入全局配置模式。
3. 配置交换机的IP地址。
在全局配置模式下输入"interfacevlan 1"命令,进入虚拟局域网1的接口配置模式。
然后输入"ip address 192.168.1.1 255.255.255.0"命令,配置交换机的IP地址和子网掩码。
4. 保存配置并退出。
在接口配置模式下输入"exit"命令,返回到全局配置模式。
然后输入"exit"命令,返回到特权模式。
最后输入"copy running-config startup-config"命令,保存配置到闪存中。
其次,VLAN的配置是CISCO交换机的关键配置之一。
通过配置VLAN,我们可以将交换机的端口划分为不同的虚拟局域网,实现数据的隔离和安全。
1. 进入交换机的配置模式。
同样,在特权模式下输入"configure terminal"命令,进入全局配置模式。
2. 创建VLAN。
在全局配置模式下输入"vlan 10"命令,创建一个编号为10的VLAN。
cisco路由器AAA认证配置
Username backuser secret gmcc123aaa new-modelaaa authentication login default noneaaa authentication login vty-authen group tacacs+ localaaa authorization config-commandsaaa authorization commands 0 default noneaaa authorization commands 0 vty-author group tacacs+ noneaaa authorization commands 1 default noneaaa authorization commands 1 vty-author group tacacs+ noneaaa authorization commands 15 default noneaaa authorization commands 15 vty-author group tacacs+ noneaaa accounting commands 0 default start-stop group tacacs+aaa accounting commands 1 default start-stop group tacacs+aaa accounting commands 15 default start-stop group tacacs+aaa accounting system default start-stop group tacacs+aaa accounting connection default start-stop group tacacs+ //设备外部连接利用tacacs进行日志记录aaa accounting exec default start-stop group tacacs+ //EXEC模式设备管理利用tacacs进行日志记录aaa group server tacacs+ vty-authen// tacacs+ server-group配置,,要加组名。
思科交换机的基本配置
思科交换机的基本配置思科交换机的基本配置H3C每年将销售额的15%以上用于研发投入,在中国的北京、杭州和深圳设有研发机构,在北京和杭州设有可靠性试验室以及产品鉴定测试中心。
下面店铺整理一些思科交换机的基本配置,希望大家认真阅读!CISCO交换机基本配置:Console端口连接用户模式hostname# ;特权模式hostname(config)# ;全局配置模式hostname(config-if)# ;交换机口令设置:switch>enable ;进入特权模式switch#config terminal ;进入全局配置模式switch(config)#hostname csico ;设置交换机的主机名switch(config)#enable secret csico1 ;设置特权加密口令switch(config)#enable password csico8 ;设置特权非密口令switch(config)#line console 0 ;进入控制台口switch(config-line)#line vty 0 4 ;进入虚拟终端switch(config-line)#login ;虚拟终端允许登录switch(config-line)#password csico6 ;设置虚拟终端登录口令csico6switch#exit ;返回命令交换机VLAN创建,删除,端口属性的设置,配置trunk端口,将某端口加入vlan中,配置VTP:switch#vlan database ;进入VLAN设置switch(vlan)#vlan 2 ;建VLAN 2switch(vlan)#vlan 3 name vlan3 ;建VLAN 3并命名为vlan3switch(vlan)#no vlan 2 ;删vlan 2switch(config)#int f0/1 ;进入端口1switch(config)#speed ? 查看speed命令的子命令switch(config)#speed 100 设置该端口速率为100mb/s (10/auto)switch(config)#duplex ? 查看duplex的子命令switch(config)#duplex full 设置该端口为全双工(auto/half)switch(config)#description TO_PC1 这是该端口描述为TO_PC1 switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2switch(config-if)#switchport mode trunk ;设置为trunk模式(access模式)switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlanswitch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain vtpserver ;设置vtp域名相同switch(config)#vtp password ;设置发vtp密码switch(config)#vtp server ;设置vtp服务器模式switch(config)#vtp client ;设置vtp客户机模式交换机设置IP地址,默认网关,域名,域名服务器,配置和查看MAC地址表:switch(config)#interface vlan 1 ;进入vlan 1switch(config-if)#ip address 192.168.1.1 255.255.255.0 ;设置IP地址switch(config)#ip default-gateway 192.168.1.6 ;设置默认网关switch(config)#ip domain-name 设置域名switch(config)#ip name-server 192.168.1.18 设置域名服务器switch(config)#mac-address-table? 查看mac-address-table 的子命令switch(config)#mac-address-table aging-time 100 设置超时时间为100msswitch(config)#mac-address-table permanent 0000.0c01.bbcc f0/3 加入永久地址在f0/3端口switch(config)#mac-address-table restricted static 0000.0c02.bbcc f0/6 f0/7 加入静态地址目标端口f0/6源端口f0/7 switch(config)#endswitch#show mac-address-table 查看整个MAC地址表switch#clear mac-address-table restricted static 清除限制性静态地址交换机显示命令:switch#write ;保存配置信息switch#show vtp ;查看vtp配置信息switch#show run ;查看当前配置信息switch#show vlan ;查看vlan配置信息switch#show interface ;查看端口信息switch#show int f0/0 ;查看指定端口信息switch#show int f0/0 status;查看指定端口状态switch#dir flash: ;查看闪存Cisco路由器配置命令大全网络2010-06-26 06:43:44 阅读657 评论0 字号:大中小订阅 .(1)模式转换命令用户模式----特权模式,使用命令"enable"特权模式----全局配置模式,使用命令"config t"全局配置模式----接口模式,使用命令"interface+接口类型+接口号"全局配置模式----线控模式,使用命令"line+接口类型+接口号"注:用户模式:查看初始化的信息.特权模式:查看所有信息、调试、保存配置信息全局模式:配置所有信息、针对整个路由器或交换机的所有接口接口模式:针对某一个接口的配置线控模式:对路由器进行控制的接口配置(2)配置命令show running config 显示所有的配置show versin 显示版本号和寄存器值shut down 关闭接口no shutdown 打开接口ip add +ip地址配置IP地址secondary+IP地址为接口配置第二个IP地址show interface+接口类型+接口号查看接口管理性show controllers interface 查看接口是否有DCE电缆show history 查看历史记录show terminal 查看终端记录大小hostname+主机名配置路由器或交换机的标识config memory 修改保存在NVRAM中的启动配置exec timeout 0 0 设置控制台会话超时为0service password-encryptin 手工加密所有密码enable password +密码配置明文密码ena sec +密码配置密文密码line vty 0 4/15 进入telnet接口password +密码配置telnet密码line aux 0 进入AUX接口password +密码配置密码line con 0 进入CON接口password +密码配置密码bandwidth+数字配置带宽no ip address 删除已配置的IP地址show startup config 查看NVRAM中的配置信息copy run-config atartup config 保存信息到NVRAM write 保存信息到NVRAMerase startup-config 清除NVRAM中的配置信息show ip interface brief 查看接口的谪要信息banner motd # +信息 + # 配置路由器或交换机的描素信息description+信息配置接口听描素信息vlan database 进入VLAN数据库模式vlan +vlan号+ 名称创建VLANswitchport access vlan +vlan号为VLAN为配接口interface vlan +vlan号进入VLAN接口模式ip add +ip地址为VLAN配置管理IP地址vtp+service/tracsparent/client 配置SW的VTP工作模式vtp +domain+域名配置SW的VTP域名vtp +password +密码配置SW的密码switchport mode trunk 启用中继no vlan +vlan号删除VLANshow spamming-tree vlan +vlan号查看VLA怕生成树议2. 路由器配置命令ip route+非直连网段+子网掩码+下一跳地址配置静态/默认路由show ip route 查看路由表show protocols 显示出所有的被动路由协议和接口上哪些协议被设置show ip protocols 显示了被配置在路由器上的路由选择协议,同时给出了在路由选择协议中使用的定时器等信息router rip 激活RIP协议network +直连网段发布直连网段interface lookback 0 激活逻辑接口passive-interface +接口类型+接口号配置接口为被动模式debug ip +协议动态查看路由更新信息undebug all 关闭所有DEBUG信息router eigrp +as号激活EIGRP路由协议network +网段+子网掩码发布直连网段show ip eigrp neighbors 查看邻居表show ip eigrp topology 查看拓扑表show ip eigrp traffic 查看发送包数量router ospf +process-ID 激活OSPF协议network+直连网段+area+区域号发布直连网段show ip ospf 显示OSPF的进程号和ROUTER-IDencapsulation+封装格式更改封装格式no ip admain-lookup 关闭路由器的域名查找ip routing 在三层交换机上启用路由功能show user 查看SW的在线用户clear line +线路号清除线路3. 三层交换机配置命令配置一组二层端口configure terminal 进入配置状态nterface range {port-range} 进入组配置状态配置三层端口configure terminal 进入配置状态interface {{fastethernet | gigabitethernet} interface-id} | {vlan vlan-id} | {port-channel port-channel-number} 进入端口配置状态no switchport 把物理端口变成三层口ip address ip_address subnet_mask 配置IP地址和掩码no shutdown 激活端口例:Switch(config)# interface gigabitethernet0/2Switch(config-if)# no switchportSwitch(config-if)# ip address 192.20.135.21 255.255.255.0Switch(config-if)# no shutdown配置VLANconfigure terminal 进入配置状态vlan vlan-id 输入一个VLAN号, 然后进入vlan配态,可以输入一个新的VLAN号或旧的来进行修改。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络拓扑图如下:根据图示连接设备。
在本次试验中,具体端口情况如上图数字标出。
核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。
IP 地址分配:Router:e0:192.168.1.1Core:f0/1: 192.168.1.2Svi接口:Core vlan10: 172.16.10.254Vlan20: 172.16.20.254Vlan30: 172.16.30.254Access vlan10: 172.16.10.253Vlan20: 172.16.20.253Vlan30: 172.16.30.253服务器IP地址:192.168.30.1Office区域网段地址:PC1:192.168.10.1PC2:192.168.10.2路由器清空配置命令:enerase startup-configReload交换机清空配置命令:enerase startup-configdelete vlan.datReload加速命令:enconf tno ip domain lookupline con 0exec-timeout 0 0logging synhostname一、OFFICE 区域地址静态分配,防止OFFICE 网络发生ARP 攻击,不允许OFFICE 网段PC 互访;STUDENTS 区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击;1、基本配置SW1的配置:SW1(config)#vtp domain cisco //SW1配置vtp,模式为server,SW2模式为client SW1(config)#vtp password sovandSW1(config)#vtp mode serverSW1(config)#vlan 10SW1(config)#int range f0/3,f0/4 //链路捆绑SW1(config-if-range)#Channel-protocol pagpSW1(config-if-range)#Channel-group 10 mode onSW1(config)#int port-channel 10 //链路设置为trunk模式,封装802.1q协议,三层交换机默认没有封装该协议SW1(config-if)#switchport trunk encapsulation dot1qSW1(config-if)#switchport mode trunkSW2配置:SW2(config)#vtp domain ciscoSW2(config)#vtp password sovandSW2(config)#vtp mode clientSW2(config)#int range f0/3,f0/4SW2(config-if-range)#Channel-protocol pagpSW2(config-if-range)#Channel-group 10 mode onCreating a port-channel interface Port-channel 10SW2(config)#int port-channel 10SW2(config-if)#switchport trunk encapsulation dot1qSW2(config-if)#switchport mode trunkSW2(config)#int f0/1 //把f0/1,f0/2划入vlan10SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 10SW2(config-if)#int f0/2SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 102、vlan aclOffice区域禁止PC机互访:使用show int e0/0命令查看mac地址SW2(config)#mac access-list extended macaclSW2(config-ext-macl)#permit host 0007.8562.9de0 host 0007.8562.9c20 //要禁止双向通信SW2(config-ext-macl)#permit host 0007.8562.9c20 host 0007.8562.9de0SW2(config)#vlan access-map vmap 10 //禁止pc间的通信SW2(config-access-map)#match mac add macaclSW2(config-access-map)#action dropSW2(config)#vlan access-map vmap 20 //对其他数据放行,不然pc机无法ping通svi口、网关SW2(config-access-map)#action forwardSW2(config)#vlan filter vmap vlan-list 10未使用VLAN ACL时pc1可以ping通pc2,如下图:使用VLAN ACL时pc1可以无法ping通pc2,如下图:3、Office区域静态配置ip地址时采用的ARP防护:配置如下:SW2(config)#ip arp inspection vlan 10SW2(config)#arp access-list arplistSW2(config-arp-nacl)#permit ip host 192.168.10.1 mac host 0007.8562.9de0 //ip地址与mac地址对应表SW2(config-arp-nacl)#permit ip host 192.168.10.2 mac host 0007.8562.9c20SW2(config-arp-nacl)#ip arp inspection filter arplist vlan 10SW2(config)#int port-channel 10SW2(config-if)#ip arp inspection trust注意:配置静态arp防护(用户主机静态配置地址,不是通过DHCP获取地址),需要新建ip与mac映射表,不然pc1无法ping通svi口4、OSPF与DHCP全网起OSPF协议,使pc1可以ping通路由器。
其实全网没有起OSPF协议,PC机也是可以ping通路由器,此处发生了ARP代理。
起OSPF是为了DHCP地址的分配。
SW1(config)#ip routing //打开路由功能SW1(config)#int f0/1SW1(config-if)#no switchport //把二层接口转换为三层接口SW1(config-if)#ip add 192.168.1.2 255.255.255.0SW1(config-if)#no shutdownSW1(config-if)#int f0/2SW1(config-if)#no switchportSW1(config-if)#ip add 192.168.2.2 255.255.255.0SW1(config-if)#no shutSW1(config)#router ospf 1SW1(config-router)#netSW1(config-router)#network 192.168.1.0 0.0.0.255 a 0SW1(config-router)#net 192.168.10.254 0.0.0.0 a 0R(config)#router ospf 1R(config-router)#net 192.168.1.0 0.0.0.255 a 0配置DHCP:Router(config)#ip dhcp 1Router(dhcp-config)#network 192.168.10.0 255.255.255.0Router(dhcp-config)#default-router 192.168.10.254 //返回地址,本环境中指向vlan 20的svi接口地址。
Router(dhcp-config)#dns-server 8.8.8.8Router(dhcp-config)#exitRouter(config)#ip dhcp excluded-address 192.168.10.1 //去除一些地址Router(config)#ip route 0.0.0.0 0.0.0.0 e0然后在sw1中配置DHCP代理,代理下一跳地址为DHCP入接口,进入vlan 20配置svi接口,地址为192.168.20.254注意:Router(config)#ip route 0.0.0.0 0.0.0.0 e0 //如果不想写这条,就必须要把关掉路由功能,不然pc机无法获取ip地址关掉路由功能命令为no ip routing.然后在pc上进入接口,设置为DHCP获取地址,命令如下:int f0/1ip add dhcp查看结果:5、Student区域ARP防护:SW2配置如下:ip dhcp snooping //开启DHCP侦听ip dhcp snooping vlan 20int range f0/1,f0/2ip dhcp snooping limit rate 5 //限制DHCP请求包数量,此处为5ip verify source port-securityexitint port-channel 10ip dhcp snooping trust //设置信任端口然后修改pc1的mac地址,就可以发现端口down状态,修改mac地址命令如下:pc1(config)#int e0/0pc1(config-if)#mac-address 0007.8562.9de36、AAA认证:服务器地址为:192.168.30.1s1(config-vlan)#int vlan 30 //创建vlan 30的原因:在sw1、sw2中配置svi口,服务器的地址为192.168.30.1,使他们位于同一个网段。
这样pc机发出的认证数据包就会被发往服务器s1(config-if)#ip add 192.168.30.254 255.255.255.0s1(config)#int f0/5s1(config-if)#switchport mode accesss1(config-if)#switchport access vlan 30s2(config)#int vlan 30s2(config-if)#ip add 192.168.30.253 255.255.255.0s2(config-if)#exits2(config)#aaa new-model //AAA配置位于接入层交换机,所以核心交换机sw1连接服务器的接口不需要配置IP地址s2(config)#aaa authentication login vtylogin group radiuss2(config)#radius-server host 192.168.30.1 auth-port 1812 accts2(config)#$er host 192.168.30.1 auth-port 1812 acct-port 1813 key cisco //cisco为秘钥s2(config)#line vty 0 4 //用户认证时使用虚拟链路s2(config-line)#login authentication vtylogins2(config-line)#exits2(config)#dot1x system-auth-controls2(config)#int f0/1 //进入端口,把端口配置为认证模式,即只有认证成功端口才会打开s2(config-if)#authentication port-control autos2(config-if)#dot1x pae authenticator在sw2上验证一些账号密码是否可用,如:123123 与aaa 111,结果如下:二、在交换机上开启生成树安全机制,接入层交换机不能成为根,接入接口快速收敛;当OFFICE区域接口接入交换机后进入正常的生成树状态。