Labb 26: Port Security Labb 28: DHCP Snooping
I dagens nätverk är säkerhet en av de viktigaste delarna av nätverksadministration. Med ökade hot från både externa och interna källor är det viktigt att förstärka säkerhetsåtgärder på alla nivåer i nätverket. Denna laboration ger praktisk erfarenhet av att stärka säkerheten på L2-switchar. Genom att utföra olika säkerhetsåtgärder lär du dig att skydda nätverksresurser och bevara nätverkets integritet och tillgänglighet.
I laborationen arbetar du med två L2-switchar i ett delvis konfigurerat nätverk. Du kommer att tillämpa säkerhetsåtgärder som säkrar trunklänkar, implementerar Port Security samt aktiverar avancerade funktioner som DHCP Snooping och BPDU Guard. Dessa åtgärder skyddar nätverket från oönskade åtkomster och ser till att nätverket fungerar smidigt trots potentiella hot.
Uppgifter att genomföra:
- Skapa en säker trunk
- Säkra oanvända switchportar
- Implementera Port Security
- Aktivera DHCP Snooping
- Konfigurera Rapid PVST PortFast och BPDU Guard
Konfigurationer
Skapa en säker trunk
a. Anslut portarna G0/2 på de två åtkomstlagrets switchar.
Här använder du antigen en rak- eller korsad-kabel. Se bilden nedan:
b. Konfigurera portarna G0/1 och G0/2 som statiska trunkar på båda switcharna.
- SW-1> enable
- SW-1# configure terminal
- SW-1(config)# interface range g0/1-2
- SW-1(config-if-range)# switchport mode trunk
- SW-2> enable
- SW-2# configure terminal
- SW-2(config)# interface range g0/1-2
- SW-2(config-if-range)# switchport mode trunk
c. Inaktivera DTP-förhandling på båda sidor av länken.
- SW-1(config-if-range)# switchport nonegotiate
- SW-1(config-if-range)# exit
- SW-1(config)#
- SW-2(config-if-range)# switchport nonegotiate
- SW-2(config-if-range)# exit
- SW-2(config)#
d. Skapa VLAN 100 och ge det namnet Native på båda switcharna.
- SW-1(config)# vlan 100
- SW-1(config-vlan)# name Native
- SW-1(config-vlan)# exit
- SW-1(config)#
- SW-2(config)# vlan 100
- SW-2(config-vlan)# name Native
- SW-2(config-vlan)# exit
- SW-2(config)#
e. Konfigurera alla trunkportar på båda switcharna att använda VLAN 100 som native VLAN.
- SW-1(config)# interface range g0/1-2
- SW-1(config-if-range)# switchport mode trunk
- SW-1(config-if-range)# switchport trunk native vlan 100
- SW-1(config-if-range)# exit
- SW-1(config)#
- SW-2(config)# interface range g0/1-2
- SW-2(config-if-range)# switchport mode trunk
- SW-2(config-if-range)# switchport trunk native vlan 100
- SW-2(config-if-range)# exit
- SW-2(config)#
Säkra oanvända switchportar
a. Inaktivera alla oanvända switchportar på SW-1.
- SW-1(config)# interface range fa0/3-9,fa0/11-23
- SW-1(config-if-range)# shutdown
- SW-1(config-if-range)# exit
- SW-1(config)#
b. På SW-1, skapa VLAN 999 och namnge den BlackHole. Det konfigurerade namnet måste exakt matcha kravet.
- SW-1(config)# vlan 999
- SW-1(config-vlan)# name BlackHole
- SW-1(config-vlan)# exit
- SW-1(config)#
c. Flytta alla oanvända switchportar till VLAN BlackHole.
- SW-1(config)# interface range fa0/3-9,fa0/11-23
- SW-1(config-if-range)# switchport mode access
- SW-1(config-if-range)# switchport access vlan 999
- SW-1(config-if-range)# exit
- SW-1(config)#
Implementera Port Security
a. Aktivera port-security på alla aktiva åtkomstportar på switchen SW-1.
- SW-1(config)# interface range fa0/1-2,fa0/10,fa0/24
- SW-1(config-if-range)# switchport port-security
b. Konfigurera de aktiva portarna att tillåta att högst 4 MAC-adresser kan läras in på portarna.
- SW-1(config-if-range)# switchport port-security maximum 4
SW-1(config-if-range)# exit
SW-1(config)#
c. För portarna F0/1 på SW-1, konfigurera statiskt MAC-adressen för datorn i konfigurationen av port security. På datorn PC1 starta CMD och exekvera kommandot ipconfig /all (kopiera mac-adressen och klistra på terminalen, eller skriv ner).
- SW-1(config)# interface fa0/1
- SW-1(config-if)# switchport port-security mac-adress 0010.11E8.3CBB
- SW-1(config-if)# exit
- SW-1(config)#
d. Konfigurera varje aktiv åtkomstport så att den automatiskt lägger till de MAC-adresser som lärs in på porten till konfigurationsfilen running-config.
- SW-1(config)# interface range fa0/1-2,fa0/10,fa0/24
- SW-1(config-if-range)# switchport port-security mac-address sticky
e. Konfigurera överträdelseläget för port säkerhet för att kassera paket från MAC-adresser som överskrider maxantalet, generera en Syslog-post, men inte inaktivera portarna.
- SW-1(config-if-range)# switchport port-security violation restrict
- SW-1(config-if-range)# exit
- SW-1(config)#
Aktivera DHCP Snooping
a. Konfigurera trunk-portarna på SW-1 som betrodda portar.
- SW-1(config)# interface range g0/1-2
- SW-1(config-if-range)# ip dhcp snooping trust
- SW-1(config-if-range)# exit
- SW-1(config)#
b. Begränsa de icke betrodda portarna på SW-1 till fem DHCP-paket per sekund.
- SW-1(config)# interface range fa0/1-2,fa0/10,fa0/24
- SW-1(config-if-range)# ip dhcp snooping limit rate 5
- SW-1(config-if-range)# exit
- SW-1(config)#
c. På SW-2, aktivera DHCP-snooping globalt och för VLAN 10, 20 och 99.
- SW-2> enable
- SW-2# configure terminal
- SW-2(config)# ip dhcp snooping
- SW-2(config)# ip dhcp snooping vlan 10,20,99
- SW-2(config)#
Observera: DHCP-snooping-konfigurationen kanske inte fungerar korrekt i Packet Tracer.
Konfigurera Rapid PVST PortFast och BPDU Guard
a. Aktivera PortFast på alla använda åtkomstportar på SW-1.
- SW-1(config)# interface range fa0/1-2,fa0/10,fa0/24
- SW-1(config-if-range)# spanning-tree portfast
b. Aktivera BPDU Guard på alla använda åtkomstportar på SW-1.
- SW-1(config-if-range)# spanning-tree bpduguard enable
c. Konfigurera SW-2 så att alla åtkomstportar använder PortFast som standard.
- SW-2>enable
- SW-2# configure terminal
- SW-2(config)# ip dhcp snooping
- SW-2(config)# ip dhcp snooping vlan 10,20,99
- SW-2(config)# spanning-tree portfast default