項目7企業(yè)局域網(wǎng)安全接入部署項目描述項目相關(guān)知識項目規(guī)劃設(shè)計項目實踐項目驗證項目拓展目錄項目描述項目描述近期，公司網(wǎng)絡(luò)出現(xiàn)了異常，部分員工無法正常上網(wǎng)。經(jīng)過調(diào)查發(fā)現(xiàn)，部分員工為了將個人終端（如手機）接入網(wǎng)絡(luò)，擅自將無線路由器接入公司網(wǎng)絡(luò)，且未關(guān)閉無線路由器的DHCP功能，致使部分員工的終端獲取到錯誤的IP地址。為解決這一問題，必須對網(wǎng)絡(luò)進行必要的改造。經(jīng)過討論，公司決定優(yōu)先對財務(wù)部和銷售部進行改造，確保這兩個部門的計算機能夠正確獲取IP地址。同時，為了提升網(wǎng)絡(luò)安全，還需要有效防范非法DHCP服務(wù)器的接入，禁止使用手動配置IP地址的終端接入網(wǎng)絡(luò)。此外，公司最近購買了一臺流量服務(wù)器，旨在通過旁路部署的方式全面監(jiān)控網(wǎng)絡(luò)流量。目前，需要在核心交換機上將流量復(fù)制到流量服務(wù)器所在端口。項目描述其項目拓?fù)淙鐖D7-1所示。圖7-1項目拓?fù)漤椖肯嚓P(guān)知識7.1DHCPSnoopingDHCPSnooping（DHCP窺探），主要用于保證DHCP客戶端從合法的DHCP服務(wù)器獲取到IP地址。DHCPSnooping通過對客戶端和服務(wù)器之間的DHCP交互報文進行窺探實現(xiàn)對用戶IP地址使用情況的記錄和監(jiān)控，同時還可以過濾非法DHCP報文。因此，該功能可以有效防止DHCP地址池中的損耗和網(wǎng)絡(luò)上針對DHCP的欺騙攻擊，并能通過生成的用戶數(shù)據(jù)表項為IPSourceGuard等安全應(yīng)用提供服務(wù)。7.1DHCPSnoopingDHCPSnooping可以提供以下兩方面的功能：（1）DHCP報文過濾：在交換機上配置DHCPSnooping后，交換機能檢測接口進來的DHCPSERVER發(fā)送的報文。管理員可以將連接授權(quán)DHCPSERVER的接口配置為信任端口，其他端口配置為非信任端口。這樣，交換機只會接收并轉(zhuǎn)發(fā)來自信任端口的DHCPSERVER分配的IP地址，而非信任端口在接收到DHCP服務(wù)器響應(yīng)的DHCPAck、DHCPNak、DHCPOffer報文后，會丟棄這些報文。7.1DHCPSnoopingDHCPSnooping可以提供以下兩方面的功能：（2）DHCP地址表：DHCPSnooping還能截獲DHCP報文并進行分析處理，建立和維護一個DHCPSnooping綁定表，包括MAC、IP、租期、VLAN、接口等信息。這些表項作為合法用戶的信息表，提供給設(shè)備的其他安全模塊使用，實現(xiàn)進一步的接入安全功能。7.2IPSourceGuardIP源防護（IPSourceGuard，IPSG）是一種網(wǎng)絡(luò)安全特性，主要用于防范針對源IP地址進行欺騙的攻擊行為。隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，基于源IP的攻擊也日益增多。攻擊者可能通過欺騙手段獲取網(wǎng)絡(luò)資源，獲取合法使用網(wǎng)絡(luò)資源的權(quán)限，甚至導(dǎo)致被欺騙者無法訪問網(wǎng)絡(luò)或發(fā)生信息泄露。IPSG針對這類源IP攻擊提供了一種有效的防御機制。IPSG的工作原理基于綁定表（DHCP動態(tài)和靜態(tài)綁定表）對IP報文進行匹配檢查。當(dāng)設(shè)備在轉(zhuǎn)發(fā)IP報文時，會檢查報文中的源IP、源MAC、端口、VLAN等信息，并將這些信息與綁定表中的信息進行比對。如果信息匹配，則認(rèn)為該報文來自合法用戶，允許其正常轉(zhuǎn)發(fā)；否則，報文將被視為攻擊報文并被丟棄。7.2IPSourceGuardIPSG的綁定表可以通過兩種方式進行配置：靜態(tài)綁定和動態(tài)綁定。靜態(tài)綁定是通過使用user-bind命令手工配置，而動態(tài)綁定則通過配置DHCPSnooping來實現(xiàn)，這種方式更為推薦。通過IPSG的實施，可以有效地防止惡意主機偽造合法主機的IP地址，確保非授權(quán)主機不能通過自己制定的IP來訪問和攻擊網(wǎng)絡(luò)。7.3端口安全端口安全是一種在端口上實施的安全技術(shù)，通過綁定合法的IP、MAC或者IP+MAC地址，對端口接收的報文進行控制。在接入交換機上建立端口和MAC、IP或MAC+IP的對應(yīng)關(guān)系表，當(dāng)該端口收到符合對應(yīng)關(guān)系的報文時，進行正常轉(zhuǎn)發(fā)；當(dāng)收到的不符合該對應(yīng)關(guān)系的報文時，則進行下一步判斷。7.3端口安全端口安全功能適用于需要嚴(yán)格控制端口接入用戶身份的場景，確保指定合法用戶能夠訪問網(wǎng)絡(luò)。此外，它還能有效應(yīng)對MAC地址耗盡的風(fēng)險，即防止惡意軟件或病毒通過發(fā)送偽造MAC地址的流量來耗盡交換機地址表，從而保障網(wǎng)絡(luò)的正常通信，如圖7-2所示。圖7-2端口安全示意圖7.3端口安全端口安全的MAC綁定分為靜態(tài)綁定和動態(tài)綁定兩種方式：（1）靜態(tài)綁定方式：手工命令進行綁定，可以綁定二層和三層安全地址（MAC、IP、MAC+IP）。（2）動態(tài)綁定方式：交換機自動學(xué)習(xí)地址并轉(zhuǎn)化為安全地址，只能夠?qū)W習(xí)到二層安全地址。在通常情況下，這兩種安全MAC綁定方式可以配置的最大安全地址限制個數(shù)默認(rèn)為128個。該技術(shù)可以通過限制安全地址個數(shù)的方式，防止設(shè)備遭受MAC掃描攻擊時，MAC表項被迅速占滿。7.4ARPCheck地址解析協(xié)議（AddressResolutionProtocol

，ARP）是一種將IP地址解析為MAC地址的協(xié)議，是以太網(wǎng)中一個重要的協(xié)議。但是，ARP協(xié)議并不安全，在協(xié)議上有兩個漏洞，其一是在設(shè)備或PC上學(xué)習(xí)IP和MAC的對應(yīng)關(guān)系時，不對ARP報文進行驗證；其二是始終以最新收到的ARP報文來更新ARP緩存表。由于這兩個漏洞的存在，ARP欺騙成了局域網(wǎng)內(nèi)的一大威脅。7.4ARPCheckARPCheck是防護ARP欺騙的一種網(wǎng)絡(luò)安全機制，主要用于驗證ARP報文的合法性和有效性。它能通過比較ARP緩存中的IP地址和MAC地址，來驗證ARP緩存中記錄的信息是否匹配。目前，ARPCheck支持的安全檢查功能包括兩種，分別是僅檢測ARP報文的SenderIP和檢測SenderIP+SenderMAC。ARPCheck功能會基于合法用戶信息表的條目，檢驗ARP報文的SenderIP或SenderIP+SenderMAC字段，不符合合法用戶信息表的報文將被丟棄，達(dá)到防止ARP欺騙的目的。7.5端口鏡像技術(shù)端口鏡像，又稱端口監(jiān)聽或SPAN（SwitchPortAnalyzer），可以實時地將被監(jiān)聽的一個或多個端口的流量，復(fù)制到鏡像端口（監(jiān)聽端口），而又不會影響被監(jiān)聽端口的正常工作。在端口鏡像中，有兩個主要端口，分別是鏡像源端口和鏡像目的端口。如圖7-3所示。圖7-3端口鏡像示意圖7.5端口鏡像技術(shù)源端口也被稱為被監(jiān)控口，在SPAN會話中，源端口上的數(shù)據(jù)流被監(jiān)控，用于網(wǎng)絡(luò)分析或故障排除。在單個SPAN會話中，用戶可以監(jiān)控輸入、輸出和雙向數(shù)據(jù)流，且源端口的最大個數(shù)沒有限制（但受限于設(shè)備性能和目的端口帶寬）。源端口具有以下特性：（1）源端口可以是二層口、三層口（nosw）或者AP端口。（2）源端口不能同時作為目的端口。（3）源端口和目的端口可以屬于同一VLAN，也可以屬于不同VLAN。7.5端口鏡像技術(shù)目的端口用于接收源端口1：1拷貝的數(shù)據(jù)包，具有以下特性：（1）目的端口可以是二層口、三層口（nosw）或者AP口。（2）目的端口不能同時作為源端口，且同一個SPAN會話只能有一個目的端口。（3）默認(rèn)情況下，目的端口不能作為業(yè)務(wù)端口，除非配置了Switch參數(shù)。7.6AAAAAA代表Authentication、Authorization、Accounting，意為認(rèn)證、授權(quán)、記賬，其主要作用是提供了一個用來對認(rèn)證授權(quán)和記賬這三種安全功能進行配置的框架，AAA的配置實際上是對網(wǎng)絡(luò)訪問控制的一種管理。7.6AAAAAA的具體組成部分及作用如下：Authentication（認(rèn)證）：對用戶的身份進行驗證，決定是否允許該用戶訪問網(wǎng)絡(luò)。Authorization（授權(quán)）：給不同的用戶分配不同的權(quán)限，限制每個用戶可使用的網(wǎng)絡(luò)服務(wù)。Accounting（記賬）：記錄用戶使用網(wǎng)絡(luò)資源的情況，包括使用的服務(wù)類型、起始時間、數(shù)據(jù)流量等，從而實現(xiàn)對用戶的使用網(wǎng)絡(luò)資源地行為進行記賬、統(tǒng)計、跟蹤。項目規(guī)劃設(shè)計項目規(guī)劃設(shè)計在本項目中，使用3臺交換機、4臺PC和1臺服務(wù)器來構(gòu)建企業(yè)局域網(wǎng)，其中SW1為核心交換機，SW2和SW3為接入交換機。現(xiàn)計劃在SW1上建立部門DHCP地址池，為各部門自動分配IP地址，在SW2、SW3使用DHCPSnooping功能防止部門終端獲取到非法IP地址。同時SW2、SW3上還需啟用端口安全功能、報文檢測和ARPCheck防欺騙，為部門終端提供安全的網(wǎng)絡(luò)環(huán)境。監(jiān)控服務(wù)器連接至核心交換機SW1上，指定下聯(lián)接口為鏡像源端口，將流量實時復(fù)制到監(jiān)控服務(wù)器所在的鏈路上。項目規(guī)劃設(shè)計其網(wǎng)絡(luò)拓?fù)淙鐖D7-4所示。圖7-4網(wǎng)絡(luò)拓?fù)鋱D項目規(guī)劃設(shè)計具體配置步驟如下。（1）配置DHCPSnooping，實現(xiàn)DHCP流量的過濾。（2）配置局域網(wǎng)主機安全接入，實現(xiàn)部門主機接入網(wǎng)絡(luò)的安全用網(wǎng)。（3）配置端口鏡像，實現(xiàn)對企業(yè)局域網(wǎng)流量的監(jiān)控。項目規(guī)劃設(shè)計根據(jù)圖7-4所示拓?fù)鋱D進行項目的業(yè)務(wù)規(guī)劃，項目7的VLAN規(guī)劃、設(shè)備管理規(guī)劃、端口互聯(lián)規(guī)劃、IP規(guī)劃見表7-1~表7-3。表7-1項目7VLAN規(guī)劃表VLAN-IDVLAN命名網(wǎng)段用途10User-Caiwu192.168.10.0/24財務(wù)部用戶網(wǎng)段20User-Xiaoshou192.168.20.0/24銷售部用戶網(wǎng)段100User-Xinxi10.10.10.0/24監(jiān)控服務(wù)器網(wǎng)段項目規(guī)劃設(shè)計根據(jù)圖7-4所示拓?fù)鋱D進行項目的業(yè)務(wù)規(guī)劃，項目7的VLAN規(guī)劃、設(shè)備管理規(guī)劃、端口互聯(lián)規(guī)劃、IP規(guī)劃見表7-1~表7-3。表7-2項目7端口互聯(lián)規(guī)劃表本端設(shè)備本端端口端口配置對端設(shè)備對端端口SW1G0/1TrunkSW2G0/24SW1G0/2TrunkSW3G0/24SW1G0/3Access監(jiān)控服務(wù)器Eth0/1SW2G0/1AccessPC1Eth0/1SW2G0/2AccessPC2Eth0/1SW2G0/24TrunkSW1G0/1項目規(guī)劃設(shè)計根據(jù)圖7-4所示拓?fù)鋱D進行項目的業(yè)務(wù)規(guī)劃，項目7的VLAN規(guī)劃、設(shè)備管理規(guī)劃、端口互聯(lián)規(guī)劃、IP規(guī)劃見表7-1~表7-3。表7-2項目7端口互聯(lián)規(guī)劃表本端設(shè)備本端端口端口配置對端設(shè)備對端端口SW3G0/1AccessPC3Eth0/1SW3G0/2AccessPC4Eth0/1SW3G0/24TrunkSW2G0/2項目規(guī)劃設(shè)計根據(jù)圖7-4所示拓?fù)鋱D進行項目的業(yè)務(wù)規(guī)劃，項目7的VLAN規(guī)劃、設(shè)備管理規(guī)劃、端口互聯(lián)規(guī)劃、IP規(guī)劃見表7-1~表7-3。表7-3項目7IP規(guī)劃表設(shè)備接口IP地址SW1VLAN10192.168.10.254/24VLAN20192.168.20.254/24VLAN10010.10.10.254/24PC1-DHCP自動分配項目規(guī)劃設(shè)計根據(jù)圖7-4所示拓?fù)鋱D進行項目的業(yè)務(wù)規(guī)劃，項目7的VLAN規(guī)劃、設(shè)備管理規(guī)劃、端口互聯(lián)規(guī)劃、IP規(guī)劃見表7-1~表7-3。表7-3項目7IP規(guī)劃表設(shè)備接口IP地址PC2-DHCP自動分配PC3-DHCP自動分配PC4-DHCP自動分配監(jiān)控服務(wù)器-10.10.10.1/24項目實踐任務(wù)7-1配置DHCPSnooping任務(wù)7-1配置DHCPSnooping任務(wù)描述本任務(wù)中，要實現(xiàn)為財務(wù)部和銷售部的終端自動分配IPv4地址，同時防止兩個部門的終端獲取到非法DHCP服務(wù)器的IP地址，保證網(wǎng)絡(luò)通信正常，任務(wù)的配置包括以下內(nèi)容。1.VLAN配置：根據(jù)拓?fù)鋱D創(chuàng)建VLAN。2.IP地址配置：根據(jù)項目規(guī)劃設(shè)計表為交換機配置IP地址。3.端口配置：根據(jù)項目規(guī)劃設(shè)計表配置互聯(lián)端口，并配置端口默認(rèn)VLAN。4.DHCP服務(wù)配置：在SW1上配置DHCP服務(wù)。5.DHCPSnooping功能配置：在接入交換機上開啟DHCPSnooping功能，對所有DHCP流量進行過濾，同時配置上行接口為DHCPSnoopingTrust端口，僅信任該接口發(fā)出的DHCP報文。任務(wù)7-1配置DHCPSnooping任務(wù)操作1.VLAN配置（1）在SW1上創(chuàng)建VLAN。Ruijie>enable//進入特權(quán)模式Ruijie#configterminal//進入全局模式Ruijie(config)#hostnameSW1//將交換機名稱更改為SW1SW1(config)#vlan10//創(chuàng)建VLAN10SW1(config-vlan)#nameUser-Caiwu//VLAN命名為User-CaiwuSW1(config-vlan)#exit//退出任務(wù)7-1配置DHCPSnooping任務(wù)操作1.VLAN配置（1）在SW1上創(chuàng)建VLAN。SW1(config)#vlan20//創(chuàng)建VLAN20SW1(config-vlan)#nameUser-Xiaoshou//VLAN命名為User-XiaoshouSW1(config-vlan)#exit//退出SW1(config)#vlan100//創(chuàng)建VLAN100SW1(config-vlan)#nameUser-Xinxi//VLAN命名為User-XinxiSW1(config-vlan)#exit//退出任務(wù)7-1配置DHCPSnooping任務(wù)操作1.VLAN配置（2）在SW2上創(chuàng)建VLAN。Ruijie>enable//進入特權(quán)模式Ruijie#configterminal//進入全局模式Ruijie(config)#hostnameSW2//將交換機名稱更改為SW2SW2(config)#vlan10//創(chuàng)建VLAN10SW2(config-vlan)#nameUser-Caiwu//VLAN命名為User-CaiwuSW2(config-vlan)#exit//退出任務(wù)7-1配置DHCPSnooping任務(wù)操作1.VLAN配置（3）在SW3上創(chuàng)建VLAN。Ruijie>enable//進入特權(quán)模式Ruijie#configterminal//進入全局模式Ruijie(config)#hostnameSW3//將交換機名稱更改為SW3SW3(config)#vlan20//創(chuàng)建VLAN20SW3(config-vlan)#nameUser-Xiaoshou//VLAN命名為User-XiaoshouSW3(config-vlan)#exit//退出任務(wù)7-1配置DHCPSnooping任務(wù)操作2.IP地址配置（1）在SW1上配置IP地址。SW1(config)#interfacevlan10//進入VLAN10接口SW1(config-if-VLAN10)#ipaddress192.168.10.254255.255.255.0//配置IP地址SW1(config-if-VLAN10)#exit//退出SW1(config)#interfacevlan20//進入VLAN20接口SW1(config-if-VLAN20)#ipaddress192.168.10.254255.255.255.0//配置IP地址任務(wù)7-1配置DHCPSnooping任務(wù)操作2.IP地址配置（1）在SW1上配置IP地址。SW1(config)#interfacevlan100//進入VLAN100接口SW1(config-if-VLAN100)#ipaddress10.10.10.254255.255.255.0//配置IP地址SW1(config-if-VLAN100)#exit//退出任務(wù)7-1配置DHCPSnooping任務(wù)操作3.端口配置（1）在SW1上配置與SW2、SW3互聯(lián)的端口，并配置端口默認(rèn)VLAN。SW1(config)#interfacegigabitEtherne0/1//進入G0/1端口SW1(config-if-GigabitEthernet0/1)#switchportmodetrunk//修改端口類型為Trunk模式SW1(config-if-GigabitEthernet0/1)#switchporttrunkallowedvlanonly10//配置端口的默認(rèn)VLAN為VLAN10SW1(config-if-GigabitEthernet0/1)#exit//退出任務(wù)7-1配置DHCPSnooping任務(wù)操作3.端口配置（1）在SW1上配置與SW2、SW3互聯(lián)的端口，并配置端口默認(rèn)VLAN。SW1(config)#interfacegigabitEtherne0/2//進入G0/2端口SW1(config-if-GigabitEthernet0/2)#switchportmodetrunk//修改端口類型為Trunk模式SW1(config-if-GigabitEthernet0/2)#switchporttrunkallowedvlanonly20//配置端口的默認(rèn)VLAN為VLAN20SW1(config-if-GigabitEthernet0/2)#exit//退出任務(wù)7-1配置DHCPSnooping任務(wù)操作3.端口配置（1）在SW1上配置與SW2、SW3互聯(lián)的端口，并配置端口默認(rèn)VLAN。SW1(config)#interfacegigabitEtherne0/3//進入G0/3端口SW1(config-if-GigabitEthernet0/3)#switchportmodeaccess//修改端口類型為Access模式SW1(config-if-GigabitEthernet0/3)#switchportaccessvlan100//配置端口的默認(rèn)VLAN為VLAN100SW1(config-if-GigabitEthernet0/3)#exit//退出任務(wù)7-1配置DHCPSnooping任務(wù)操作3.端口配置（2）在SW2上配置與SW1和PC互聯(lián)的端口，并配置端口默認(rèn)VLAN。SW2(config)#interfacerangegigabitEtherne0/1-23//批量進入端口SW2(config-if-range)#switchportmodeaccess//修改端口類型為Access模式SW2(config-if-range)#switchportaccessvlan10//配置端口的默認(rèn)VLAN為VLAN10SW2(config-if-range)#exit//退出SW2(config)#interfacegigabitEtherne0/24//進入G0/24端口SW2(config-if-GigabitEthernet0/24)#switchportmodetrunk//修改端口類型為Trunk模式任務(wù)7-1配置DHCPSnooping任務(wù)操作3.端口配置（3）在SW3上配置與SW1和PC互聯(lián)的端口，并配置端口默認(rèn)VLAN。SW3(config)#interfacerangegigabitEtherne0/1-23//批量進入端口SW3(config-if-range)#switchportmodeaccess//修改端口類型為Access模式SW3(config-if-range)#switchportaccessvlan20//配置端口的默認(rèn)VLAN為VLAN20SW3(config-if-range)#exit//退出SW3(config)#interfacegigabitEtherne0/24//進入G0/24端口SW3(config-if-GigabitEthernet0/24)#switchportmodetrunk//修改端口類型為Trunk模式任務(wù)7-1配置DHCPSnooping任務(wù)操作4.DHCP服務(wù)配置在SW1上配置DHCP服務(wù)，為財務(wù)部和銷售部分配IP地址。SW1(config)#servicedhcp//開啟DHCP服務(wù)SW1(config)#ipdhcppoolVLAN10//設(shè)置DHCP地址池的名稱為VLAN10SW1(dhcp-config)#network192.168.10.0255.255.255.0//配置DHCP地址池分配的地址為192.168.10.0/24網(wǎng)段SW1(dhcp-config)#default-router192.168.10.254//配置DHCP地址池分配的網(wǎng)關(guān)地址為192.168.10.254SW1(dhcp-config)#lease700//配置DHCP地址池分配的有效期為7天任務(wù)7-1配置DHCPSnooping任務(wù)操作4.DHCP服務(wù)配置在SW1上配置DHCP服務(wù)，為財務(wù)部和銷售部分配IP地址。SW1(config)#ipdhcppoolVLAN20//設(shè)置DHCP地址池的名稱為VLAN20SW1(dhcp-config)#network192.168.20.0255.255.255.0//配置DHCP地址池分配的地址為192.168.20.0/24網(wǎng)段SW1(dhcp-config)#default-router192.168.20.254//配置DHCP地址池分配的網(wǎng)關(guān)地址為192.168.20.254SW1(dhcp-config)#lease700//配置DHCP地址池分配的有效期為7天SW1(dhcp-config)#exit//退出任務(wù)7-1配置DHCPSnooping任務(wù)操作5.DHCPSnooping功能配置（1）在SW2上配置DHCPSnooping功能。SW2(config)#ipdhcpsnooping//開啟DHCPSnooping功能SW2(config)#interfacegigabitEthernet0/24//進入G0/24端口SW2(config-FastEthernet0/24)#ipdhcpsnoopingtrust//設(shè)置端口為DHCPSnoopingtrust口SW2(config-FastEthernet0/24)#exit//退出SW2(config)#ipdhcpsnoopingcheck-giaddr//全局開啟DHCPSnooping處理Relay請求報文功能任務(wù)7-1配置DHCPSnooping任務(wù)操作5.DHCPSnooping功能配置（2）在SW3上配置DHCPSnooping功能。SW3(config)#ipdhcpsnooping//開啟DHCPSnooping功能SW3(config)#interfacegigabitEthernet0/24//進入G0/24端口SW3(config-FastEthernet0/24)#ipdhcpsnoopingtrust//設(shè)置端口為DHCPSnoopingtrust口SW3(config-FastEthernet0/24)#exit//退出SW3(config)#ipdhcpsnoopingcheck-giaddr//全局開啟DHCPSnooping處理Relay請求報文功能任務(wù)7-1配置DHCPSnooping任務(wù)驗證（1）在SW1使用【showipdhcpbinding】命令查看服務(wù)器地址池分配情況，如下所示。SW1(config)#showipdhcpbindingTotalnumberofclients:4Expiredclients:0Runningclients:4任務(wù)7-1配置DHCPSnooping任務(wù)驗證（1）在SW1使用【showipdhcpbinding】命令查看服務(wù)器地址池分配情況，如下所示。可以看到四臺PC都獲取到了地址。SW1(config)#showipdhcpbindingIPaddressHardwareaddressLeaseexpirationType192.168.20.1000c.29d2.c612006days23hours49minsAutomatic192.168.20.2000c.29d2.c475006days23hours59minsAutomatic192.168.10.2000c.292d.74f4006days23hours47minsAutomatic192.168.10.1000c.292d.ac11006days23hours28minsAutomatic任務(wù)7-1配置DHCPSnooping任務(wù)驗證（2）在SW2上使用【showipdhcpsnoopingbinding】命令查看DHCP綁定表項的綁定情況，如下所示。可以看到SW2上生成了PC1和PC2的Binding記錄。SW2(config)#showipdhcpsnoopingbindingTotalnumberofbindings:2NO.MACADDRESSIPADDRESSLEASE(SEC)TYPEVLANINTERFACE---------------------------------------------------------------------1000c.292d.ac11192.168.10.1604631DHCP-Snooping10GigabitEthernet0/12000c.292d.74f4192.168.10.2604032DHCP-Snooping10GigabitEthernet0/2任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)描述本任務(wù)，要實現(xiàn)財務(wù)部和銷售部主機接入局域網(wǎng)后的安全用網(wǎng)，任務(wù)的配置包括以下內(nèi)容。1.端口安全配置：在SW2端口下允許的最大安全地址為1個，SW3端口下允許的最大安全地址為4個;對財務(wù)部PC做IP+MAC地址綁定，銷售部PC僅做MAC地址綁定。2.IPSourceGuard配置：在SW2、SW3上開啟報文檢測，模式為IP+MAC。3.ARPCheck服務(wù)配置：在SW2、SW3上開啟ARPCheck功能。任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)操作1.端口安全配置（1）在SW2上配置端口安全技術(shù)，靜態(tài)綁定IP+MAC。SW2(config)#interfacegigabitEthernet0/1//進入G0/1端口SW2(config-if-GigabitEthernet0/1)#switchportport-security//開啟端口安全SW2(config-if-GigabitEthernet0/1)#switchportport-securitybinding000c.292d.ac11vlan10192.168.10.1//在端口上綁定IP+MAC和VLANSW2(config-if-GigabitEthernet0/1)#swiport-securitymaximum1//配置安全地址限制數(shù)量為1SW2(config-if-GigabitEthernet0/1)#switchportport-securityviolationrestrict//配置違例動作RestrictSW2(config-if-GigabitEthernet0/1)#exit//退出任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)操作1.端口安全配置（1）在SW2上配置端口安全技術(shù)，靜態(tài)綁定IP+MAC。SW2(config)#interfacerangegigabitEthernet0/2//進入G0/2端口SW2(config-if-GigabitEthernet0/2)#switchportport-security//開啟端口安全SW2(config-if-GigabitEthernet0/2)#switchportport-securitybinding000c.292d.74f4vlan10192.168.10.2//在端口上綁定IP+MAC和VLANSW2(config-if-GigabitEthernet0/2)#swiport-securitymaximum1//配置安全地址限制數(shù)量為1SW2(config-if-GigabitEthernet0/2)#switchportport-securityviolationrestrict//配置違例動作RestrictSW2(config-if-GigabitEthernet0/2)#exit//退出任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)操作1.端口安全配置（2）在SW3上配置端口安全技術(shù)，靜態(tài)綁定MAC地址。SW3(config)#interfacegigabitEthernet0/1//進入G0/1端口SW2(config-if-GigabitEthernet0/1)#switchportport-security//開啟端口安全SW3(config-if-GigabitEthernet0/1)#switchportport-securitymac-address000c.29d2.c612vlan20//在端口上綁定MACSW3(config-if-GigabitEthernet0/1)#swiport-securitymaximum4//配置安全地址限制數(shù)量為4SW2(config-if-GigabitEthernet0/1)#switchportport-securityviolationrestrict//配置違例動作RestrictSW2(config-if-GigabitEthernet0/2)#exit//退出任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)操作1.端口安全配置（2）在SW3上配置端口安全技術(shù)，靜態(tài)綁定MAC地址。SW3(config)#interfacegigabitEthernet0/2//進入G0/2端口SW2(config-if-GigabitEthernet0/2)#switchportport-security//開啟端口安全SW3(config-if-GigabitEthernet0/2)#switchportport-securitymac-address000c.29d2.c475vlan20//在端口上綁定MACSW3(config-if-GigabitEthernet0/2)#swiport-securitymaximum4//配置安全地址限制數(shù)量為4SW2(config-if-GigabitEthernet0/2)#switchportport-securityviolationrestrict//配置違例動作RestrictSW2(config-if-GigabitEthernet0/2)#exit//退出任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)操作2.IPSourceGuard配置（1）在SW2上配置IPSourceGuard源數(shù)據(jù)IP+MAC靜態(tài)綁定。SW2(config)#interfacerangegigabitEthernet0/1-2//批量進入端口SW2(config-if-range)#ipverifysourceport-security//開啟源IP+MAC報文檢測SW2(config-if-range)#exit//退出任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)操作2.IPSourceGuard配置（2）在SW3上配置IPSourceGuard源數(shù)據(jù)IP+MAC靜態(tài)綁定。SW3(config)#interfacerangegigabitEthernet0/1-2//批量進入端口SW3(config-if-range)#ipverifysourceport-security//開啟源IP+MAC報文檢測SW3(config-if-range)#exit//退出任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)操作3.ARPCheck服務(wù)配置（1）在SW2上配置ARPCheck功能。SW2(config)#interfacerangegigabitEthernet0/1-2//批量進入端口SW2(config-if-range)#arp-check//開啟ARPCheck功能SW2(config-if-range)#anti-arp-spoofingip192.168.10.254//配置防網(wǎng)關(guān)ARP欺騙SW2(config-if-range)#exit//退出任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)操作3.ARPCheck服務(wù)配置（2）在SW3上配置ARPCheck功能。SW3(config)#interfacerangegigabitEthernet0/1-2//批量進入端口SW3(config-if-range)#arp-check//開啟ARPCheck功能SW3(config-if-range)#anti-arp-spoofingip192.168.20.254//配置防網(wǎng)關(guān)ARP欺騙SW3(config-if-range)#exit//退出任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)驗證（1）在SW2使用【showport-securityaddress】命令查看交換機的安全表項，如下所示。可以看到綁定表上出現(xiàn)了PC1和PC2的MAC地址和對應(yīng)端口。SW2#showport-securityaddressNO.VLANMacAddressPORTTYPERemainingAge(mins)STATUS--------------------------------------------------------------------------------------110000c.292d.ac11GigabitEthernet0/1Dynamic--active210000c.292d.74f4GigabitEthernet0/2Dynamic--active任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)驗證（2）在SW3使用【showport-securityaddress】命令查看交換機的安全表項，如下所示。可以看到綁定表上出現(xiàn)了PC3和PC4的MAC地址和對應(yīng)端口。SW3#showport-securityaddressNO.VLANMacAddressPORTTYPERemainingAge(mins)STATUS--------------------------------------------------------------------------------------120000c.29d2.c612GigabitEthernet0/1Configured--active220000c.29d2.c475GigabitEthernet0/2Configured--active任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)驗證（3）在SW2使用【showipdhcpsnoopingbinding】命令查看DHCPSnooping綁定表，如下所示。可以看到DHCPSnooping綁定表下PC1、PC2的相關(guān)信息。SW2#showipdhcpsnoopingbindingTotalnumberofbindings:2NO.MACADDRESSIPADDRESSLEASE(SEC)TYPEVLANINTERFACE----------------------------------------------------------------------------------------1000c.292d.ac11192.168.10.1602840DHCP-Snooping10GigabitEthernet0/12000c.292d.74f4192.168.10.2604368DHCP-Snooping10GigabitEthernet0/2任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)驗證（4）在SW3使用【showipdhcpsnoopingbinding】命令查看DHCPSnooping綁定表，如下所示。可以看到DHCPSnooping綁定表下PC3、PC4的相關(guān)信息SW3#showipdhcpsnoopingbindingTotalnumberofbindings:2NO.MACADDRESSIPADDRESSLEASE(SEC)TYPEVLANINTERFACE----------------------------------------------------------------------------------------1000c.29d2.c612192.168.20.1601685DHCP-Snooping20GigabitEthernet0/12000c.29d2.c475192.168.20.2602459DHCP-Snooping20GigabitEthernet0/2任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)驗證（5）在SW2使用【showipverifysource】命令查看IP源防護庫信息，如下所示。SW2(config)#showipverifysourceNO.INTERFACEFilterTypeFilterStatusIPADDRESSMACADDRESSVLANTYPE-----------------------------------------------------------------------------------------------------------1GigabitEthernet0/1IP+MACActive192.168.10.1000c.292d.ac1110DHCP-Snooping2GigabitEthernet0/2IP+MACActive192.168.10.2000c.292d.74f410DHCP-Snooping任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)驗證（5）在SW2使用【showipverifysource】命令查看IP源防護庫信息，如下所示。可以看到IP源防護庫會丟棄沒有綁定IP+MAC的ARP報文。SW2(config)#showipverifysourceNO.INTERFACEFilterTypeFilterStatusIPADDRESSMACADDRESSVLANTYPE-----------------------------------------------------------------------------------------------------------3GigabitEthernet0/1IP+MACActiveDeny-All4GigabitEthernet0/2IP+MACActiveDeny-AllTotalnumberofbindings:4任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)驗證（6）在SW3使用【showipverifysource】命令查看IP源防護庫信息，如下所示。SW3#showipverifysourceNO.INTERFACEFilterTypeFilterStatusIPADDRESSMACADDRESSVLANTYPE-----------------------------------------------------------------------------------------------------------1GigabitEthernet0/2IP+MACActive192.168.20.2000c.29d2.c47520DHCP-Snooping2GigabitEthernet0/1IP+MACActive192.168.20.1000c.29d2.c61220DHCP-Snooping任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)驗證（6）在SW3使用【showipverifysource】命令查看IP源防護庫信息，如下所示。可以看到IP源防護庫會丟棄沒有綁定IP+MAC的ARP報文。SW3#showipverifysourceNO.INTERFACEFilterTypeFilterStatusIPADDRESSMACADDRESSVLANTYPE-----------------------------------------------------------------------------------------------------------3GigabitEthernet0/1IP+MACActiveDeny-All4GigabitEthernet0/2IP+MACActiveDeny-AllTotalnumberofbindings:4任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)驗證（7）在SW2使用“showinterfacesarp-checklist”命令查看ARPCheck檢測表項，如下所示。可以看到ARPCheck允許PC1、PC2的報文通過。SW2#showinterfacesarp-checklistINTERFACESENDERMACSENDERIPPOLICYSOURCE------------------------------------------------------------------------------------GigabitEthernet0/1000c.292d.ac11192.168.10.1DHCPsnooping/port-securityGigabitEthernet0/2000c.292d.74f4192.168.10.2DHCPsnooping/port-security任務(wù)7-2配置局域網(wǎng)主機安全接入任務(wù)驗證（8）在SW3使用“showinterfacesarp-checklist”命令查看ARPCheck檢測表項，如下所示。可以看到ARPCheck允許PC1、PC2的報文通過。SW3#showinterfacesarp-checklistINTERFACESENDERMACSENDERIPPOLICYSOURCE------------------------------------------------------------------------------------GigabitEthernet0/1000c.29d2.c612192.168.20.1DHCPsnoopingGigabitEthernet0/2000c.29d2.c475192.168.20.2DHCPsnooping任務(wù)7-3配置端口鏡像任務(wù)7-3配置端口鏡像任務(wù)描述本任務(wù)中，要實現(xiàn)網(wǎng)絡(luò)監(jiān)控系統(tǒng)能監(jiān)控到財務(wù)部和銷售部的流量，任務(wù)的配置包括以下內(nèi)容。1.端口鏡像配置：在SW1上配置端口鏡像，實現(xiàn)多對一鏡像。任務(wù)7-3配置端口鏡像任務(wù)描述本任務(wù)中，要實現(xiàn)網(wǎng)絡(luò)監(jiān)控系統(tǒng)能監(jiān)控到財務(wù)部和銷售部的流量，任務(wù)的配置包括以下內(nèi)容。1.端口鏡像配置：在SW1上配置端口鏡像，實現(xiàn)多對一鏡像。任務(wù)7-3配置端口鏡像任務(wù)操作1.端口鏡像配置

在SW1上配置端口鏡像技術(shù)SW1(config)#monitorsession1sourceinterfacegi0/1both//指定端口鏡像源端口為G0/1SW1(config)#monitorsession1sourceinterfacegi0/2both//指定端口鏡像源端口為G0/2SW1(config)#monitorsession1destinationintgigabitEthernet0/3switch//指定端口鏡像目的端口為G0/3任務(wù)7-3配置端口鏡像任務(wù)驗證在SW1使用【showmonitor】命令查看端口鏡像狀態(tài)，如下所示。可以看到SW1上的端口G0/1、G0/2配置為鏡像源端口，G0/3為鏡像目的端口。SW1(config)#showmonitorsess-num:1span-type:LOCAL_SPANsrc-intf:GigabitEthernet0/1frame-typeBothsrc-intf:GigabitEthernet0/2frame-typeBothdest-intf:GigabitEthernet0/3mtp_switchon項目驗證項目驗證(1)查看PC1所獲取IP地址的情況，使用ipconfig/all命令查看獲取到地址池分配的IP地址和其他網(wǎng)絡(luò)信息，配置如下所示。PC1>ipconfig/allWindowsIP配置

主機名.............:PC1

主DNS后綴...........:

節(jié)點類型............:混合IP路由已啟用..........:否WINS代理已啟用.........:否項目驗證(1)查看PC1所獲取IP地址的情況，使用ipconfig/all命令查看獲取到地址池分配的IP地址和其他網(wǎng)絡(luò)信息，配置如下所示。PC1>ipconfig/all以太網(wǎng)適配器Ethernet0:

連接特定的DNS后綴.......:

描述...............:RealtekPCIeGbEFamilyController

物理地址.............:00-0C-29-2D-AC-11DHCP已啟用...........:是

自動配置已啟用..........:是

本地鏈接IPv6地址........:fe80::f6c4:9da3:43c5:cb1b%13(首選)IPv4地址............:192.168.10.1(首選)

子網(wǎng)掩碼............:255.255.255.0項目驗證(1)查看PC1所獲取IP地址的情況，使用ipconfig/all命令查看獲取到地址池分配的IP地址和其他網(wǎng)絡(luò)信息，配置如下所示。PC1>ipconfig/all以太網(wǎng)適配器Ethernet0:

獲得租約的時間.........:2024年1月25日10:34:29

租約過期的時間.........:2024年2月1日10:34:27

默認(rèn)網(wǎng)關(guān).............:192.168.10.254DHCP服務(wù)器...........:192.168.10.254DHCPv6IAID...........:100957206DHCPv6客戶端DUID.......:00-01-00-01-2C-B2-81-7E-04-7C-16-61-AC-11項目驗證(1)查看PC1所獲取IP地址的情況，使用ipconfig/all命令查看獲取到地址池分配的IP地址和其他網(wǎng)絡(luò)信息，配置如下所示。可以看到PC1成功獲取到了IP地址。PC1>ipconfig/all以太網(wǎng)適配器Ethernet0:DNS服務(wù)器...........:fec0:0:0:ffff::1%1fec0:0:0:ffff::2%1fec0:0:0:ffff::3%1TCPIP上的NetBIOS.......:已啟用項目驗證(2)查看PC2所獲取IP地址的情況，使用ipconfig/all命令查看獲取到地址池分配的IP地址和其他網(wǎng)絡(luò)信息，配置如下所示。PC2>ipconfig/allWindowsIP配置

主機名.............:PC2

主DNS后綴...........:

節(jié)點類型............:混合IP路由已啟用..........:否WINS代理已啟用.........:否項目驗證(2)查看PC2所獲取IP地址的情況，使用ipconfig/all命令查看獲取到地址池分配的IP地址和其他網(wǎng)絡(luò)信息，配置如下所示。以太網(wǎng)適配器Ethernet0:

連接特定的DNS后綴.......:

描述...............:Intel(R)82574LGigabitNetworkConnection

物理地址.............:00-0C-29-2D-74-F4DHCP已啟用...........:是

自動配置已啟用..........:是

本地鏈接IPv6地址........:fe80::5812:7b44:b59e:b3bf%4(首選)IPv4地址............:192.168.10.2(首選)

子網(wǎng)掩碼............:255.255.255.0項目驗證(2)查看PC2所獲取IP地址的情況，使用ipconfig/all命令查看獲取到地址池分配的IP地址和其他網(wǎng)絡(luò)信息，配置如下所示。可以看到PC2成功獲取到了IP地址。以太網(wǎng)適配器Ethernet0:

獲得租約的時間.........:2024年1月25日10:36:16

租約過期的時間.........:2024年2月1日10:36:16

默認(rèn)網(wǎng)關(guān).............:192.168.10.254DHCP服務(wù)器...........:192.168.10.254DHCPv6IAID...........:100666409DHCPv6客戶端DUID.......:00-01-00-01-2C-C7-85-81-00-0C-29-2D-74-F4DNS服務(wù)器...........:fec0:0:0:ffff::1%1fec0:0:0:ffff::2%1fec0:0:0:ffff::3%1TCPIP上的NetBIOS.......:已啟用項目驗證(3)查看PC3所獲取IP地址的情況，使用ipconfig/all命令查看獲取到地址池分配的IP地址和其他網(wǎng)絡(luò)信息，配置如下所示。PC3>ipconfig/allWindowsIP配置

主機名.............:PC3

主DNS后綴...........:

節(jié)點類型............:混合IP路由已啟用..........:否WINS代理已啟用.........:否項目驗證(3)查看PC3所獲取IP地址的情況，使用ipconfig/all命令查看獲取到地址池分配的IP地址和其他網(wǎng)絡(luò)信息，配置如下所示。以太網(wǎng)適配器Ethernet0:

連接特定的DNS后綴.......:

描述...............:RealtekPCIeGbEFamilyController

物理地址.............:00-0C-29-D2-C6-12DHCP已啟用...........:是

自動配置已啟用..........:是

本地鏈接IPv6地址........:fe80::e7c7:db44:5664:475%10(首選)IPv4地址............:192.168.20.1(首選)

子網(wǎng)掩碼............:255.255.255.0項目驗證(3)查看PC3所獲取IP地址的情況，使用ipconfig/all命令查看獲取到地址池分配的IP地址和其他網(wǎng)絡(luò)信息，配置如下所示。可以看到PC3成功獲取到了IP地址。以太網(wǎng)適配器Ethernet0:

獲得租約的時間.........:2024年1月25日10:35:08

租約過期的時間.........:2024年2月1日10:35:02

默認(rèn)網(wǎng)關(guān).............:192.168.20.254DHCP服務(wù)器...........:192.168.20.254DHCPv6IAID...........:114594704DHCPv6客戶端DUID.......:00-01-00-01-29-33-73-CA-D4-93-90-01-C6-12DNS服務(wù)器...........:fec0:0:0:ffff::1%1fec0:0:0:ffff::2%1fec0:0:0:ffff::3%1TCPIP上的NetBIOS.......:已啟用項目驗證(4)查看PC4所獲取IP地址的情況，使用ipconfig/all命令查看獲取到地址池分配的IP地址和其他網(wǎng)絡(luò)信息，配置如