Labb 29: ARP Inspection Labb 31: SNMP och Syslog
I denna laboration kommer vi att utforska hur Spanning Tree Protocol (STP), PortFast och BPDU Guard används för att skydda nätverket från loopar och STP-attacker. Vi implementerar också Dynamic ARP Inspection (DAI) för att förhindra ARP poisoning och stärka säkerheten i nätverket.
Bakgrund
- STP hjälper genom att automatiskt identifiera och blockera loopar.
- PortFast: PortFast används på access-portar, alltså portar som kopplar till slutnoder som datorer och skrivare, för att snabba upp nätverkstillgången. Portar med PortFast undviker den normala STP-processen och blir aktiva direkt, vilket förbättrar användarupplevelsen.
- BPDU Guard: BPDU Guard skyddar nätverket från oönskade STP-enheter (till exempel en rogue switch). Om en access-port med BPDU Guard tar emot en BPDU (Bridge Protocol Data Unit), antar switchen att en otillåten enhet är ansluten och stänger av porten automatiskt för att förhindra STP-attacken.
- Dynamic ARP Inspection (DAI): DAI skyddar mot ARP-förgiftning genom att kontrollera ARP-paket. Den ser till att MAC- och IP-adresser i nätverket matchar de adresser som finns registrerade i DHCP-bindningarna eller i statiska ARP-bindningar. Om adresserna inte matchar, blockeras ARP-paketet
Topologi
Konfigurationer
- Aktivera Inter-VLAN Routing
- R1(config)# interface fa0/0
- R1(config-if)# no shut
- R1(config-if)# exit
- Konfigurera sub-interface för VLAN 10
- R1(config)# interface fa0/0.10
- R1(config-subif)# encapsulation dot1Q 10
- R1(config-subif)# ip address 192.168.10.1 255.255.255.0
- R1(config-subif)# exit
- Konfigurera sub-interface för VLAN 20
- R1(config)# interface fa0/0.20
- R1(config-subif)# encapsulation dot1Q 20
- R1(config-subif)# ip address 192.168.20.1 255.255.255.0
- R1(config-subif)# exit
- Konfigurera sub-interface för VLAN 30
- R1(config)# interface fa0/0.30
- R1(config-subif)# encapsulation dot1Q 30
- R1(config-subif)# ip address 192.168.30.1 255.255.255.0
- R1(config-subif)# exit
- Konfigurera DHCP-pooler
- R1(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.10
- R1(config)# ip dhcp excluded-address 192.168.20.1 192.168.20.10
- R1(config)# ip dhcp excluded-address 192.168.30.1 192.168.30.10
- R1(config)# ip dhcp pool VLAN10
- R1(dhcp-config)# network 192.168.10.0 255.255.255.0
- R1(dhcp-config)# default-router 192.168.10.1
- R1(dhcp-config)# dns-server 8.8.8.8
- R1(dhcp-config)# exit
- R1(config)# ip dhcp pool VLAN20
- R1(dhcp-config)# network 192.168.20.0 255.255.255.0
- R1(dhcp-config)# default-router 192.168.20.1
- R1(dhcp-config)# dns-server 8.8.8.8
- R1(dhcp-config)# exit
- R1(config)# ip dhcp pool VLAN30
- R1(dhcp-config)# network 192.168.30.0 255.255.255.0
- R1(dhcp-config)# default-router 192.168.30.1
- R1(dhcp-config)# dns-server 8.8.8.8
- R1(dhcp-config)# exit
- Skapa VLAN
- S1(config)# vlan 10
- S1(config-vlan)# name VLAN10
- S1(config-vlan)# vlan 20
- S1(config-vlan)# name VLAN20
- S1(config-vlan)# vlan 30
- S1(config-vlan)# name VLAN30
- S1(config-vlan)# exit
- Spanning Tree Root Bridge
- S1(config)# spanning-tree vlan 10 root primary
- S1(config)# spanning-tree vlan 20 root primary
- S1(config)# spanning-tree vlan 30 root primary
- Konfigurera trunkportar
- S1(config)# interface range fa0/1-3
- S1(config-if-range)# switchport mode trunk
- S1(config-if-range)# switchport trunk allowed vlan 10,20,30
- S1(config-if-range)# ip dhcp snooping trust
- S1(config-if-range)# exit
- Accessport för PC (VLAN 30)
- S1(config)# interface fa0/24
- S1(config-if)# switchport mode access
- S1(config-if)# switchport access vlan 30
- S1(config-if)# spanning-tree portfast
- S1(config-if)# exit
- Aktivera DHCP Snooping och inaktivera Option 82
- S1(config)# ip dhcp snooping
- S1(config)# ip dhcp snooping vlan 10,20,30
- S1(config)# no ip dhcp snooping information option
- Aktivera DAI
- S1(config)# ip arp inspection vlan 10,20,30
- Aktivera BPDU Guard globalt
- S1(config)# spanning-tree portfast bpduguard default
- Skapa VLAN
- S2(config)# vlan 10
- S2(config-vlan)# name VLAN10
- S2(config-vlan)# vlan 20
- S2(config-vlan)# name VLAN20
- S2(config-vlan)# vlan 30
- S2(config-vlan)# name VLAN30
- S2(config-vlan)# exit
- Konfigurera trunkportar
- S2(config)# interface fa0/2
- S2(config-if)# switchport mode trunk
- S2(config-if)# switchport trunk allowed vlan 10,20,30
- S2(config-if)# ip dhcp snooping trust
- S2(config-if)# exit
- S2(config)# interface fa0/4
- S2(config-if)# switchport mode trunk
- S2(config-if)# switchport trunk allowed vlan 10,20,30
- S2(config-if)# ip dhcp snooping trust
- S2(config-if)# exit
- Accessportar för PC
- S2(config)# interface fa0/10
- S2(config-if)# switchport mode access
- S2(config-if)# switchport access vlan 10
- S2(config-if)# spanning-tree portfast
- S2(config-if)# exit
- S2(config)# interface fa0/20
- S2(config-if)# switchport mode access
- S2(config-if)# switchport access vlan 20
- S2(config-if)# spanning-tree portfast
- S2(config-if)# exit
- Aktivera DHCP Snooping och inaktivera option 82
- S2(config)# ip dhcp snooping
- S2(config)# ip dhcp snooping vlan 10,20,30
- S2(config)# no ip dhcp snooping information option
- Aktivera DAI
- S2(config)# ip arp inspection vlan 10,20,30
- Aktivera BPDU Guard globalt
- S2(config)# spanning-tree portfast bpduguard default
- Skapa VLAN
- S3(config)# vlan 10
- S3(config-vlan)# name VLAN10
- S3(config-vlan)# vlan 20
- S3(config-vlan)# name VLAN20
- S3(config-vlan)# vlan 30
- S3(config-vlan)# name VLAN30
- S3(config-vlan)# exit
- Konfigurera trunkportar
- S3(config)# interface fa0/1
- S3(config-if)# switchport mode trunk
- S3(config-if)# switchport trunk allowed vlan 10,20,30
- S3(config-if)# ip dhcp snooping trust
- S3(config-if)# exit
- S3(config)# interface fa0/3
- S3(config-if)# switchport mode trunk
- S3(config-if)# switchport trunk allowed vlan 10,20,30
- S3(config-if)# ip dhcp snooping trust
- S3(config-if)# exit
- Accessportar för PC
- S3(config)# interface fa0/24
- S3(config-if)# switchport mode access
- S3(config-if)# switchport access vlan 30
- S3(config-if)# spanning-tree portfast
- S3(config-if)# exit
- S3(config)# interface fa0/10
- S3(config-if)# switchport mode access
- S3(config-if)# switchport access vlan 10
- S3(config-if)# spanning-tree portfast
- S3(config-if)# exit
- S3(config)# interface fa0/20
- S3(config-if)# switchport mode access
- S3(config-if)# switchport access vlan 20
- S3(config-if)# spanning-tree portfast
- S3(config-if)# exit
- Aktivera DHCP Snooping och inaktivera Option 82
- S3(config)# ip dhcp snooping
- S3(config)# ip dhcp snooping vlan 10,20,30
- S3(config)# no ip dhcp snooping information option
- Aktivera DAI
- S3(config)# ip arp inspection vlan 10,20,30
- Aktivera BPDU Guard globalt
- S3(config)# spanning-tree portfast bpduguard default
- Skapa VLAN
- S4(config)# vlan 10
- S4(config-vlan)# name VLAN10
- S4(config-vlan)# vlan 20
- S4(config-vlan)# name VLAN20
- S4(config-vlan)# vlan 30
- S4(config-vlan)# name VLAN30
- S4(config-vlan)# exit
- Konfigurera trunkportar
- S4(config)# interface fa0/1
- S4(config-if)# switchport mode trunk
- S4(config-if)# switchport trunk allowed vlan 10,20,30
- S4(config-if)# ip dhcp snooping trust
- S4(config-if)# exit
- S4(config)# interface fa0/4
- S4(config-if)# switchport mode trunk
- S4(config-if)# switchport trunk allowed vlan 10,20,30
- S4(config-if)# ip dhcp snooping trust
- S4(config-if)# exit
- Accessportar för PC
- S4(config)# interface fa0/10
- S4(config-if)# switchport mode access
- S4(config-if)# switchport access vlan 10
- S4(config-if)# spanning-tree portfast
- S4(config-if)# exit
- S4(config)# interface fa0/20
- S4(config-if)# switchport mode access
- S4(config-if)# switchport access vlan 20
- S4(config-if)# spanning-tree portfast
- S4(config-if)# exit
- Aktivera DHCP Snooping och inaktivera Option 82
- S4(config)# ip dhcp snooping
- S4(config)# ip dhcp snooping vlan 10,20,30
- S4(config)# no ip dhcp snooping information option
- Aktivera DAI
- S4(config)# ip arp inspection vlan 10,20,30
- Aktivera BPDU Guard
- S4(config)# spanning-tree portfast bpduguard default