I dagens nätverksmiljöer är säkerheten en av de mest kritiska aspekterna av nätverksadministration. Med ökande hot från både externa och interna källor är det avgörande att förstärka säkerhetsåtgärder på alla nivåer av nätverksinfrastrukturen. Denna laboration är utformad för att ge praktisk erfarenhet av att stärka säkerheten på L2-switchar. Genom att genomföra olika säkerhetsåtgärder kommer du att lära dig att effektivt skydda nätverksresurser och upprätthålla nätverksintegritet och tillgänglighet.
Under laborationen kommer du att arbeta med två L2-witchar i ett delvis konfigurerat nätverk. Du kommer att tillämpa en rad säkerhetsåtgärder som täcker allt från att säkra trunklänkar till att implementera Port Security och aktivera avancerade funktioner som DHCP snooping och BPDU Guard. Dessa åtgärder är avgörande för att förebygga oönskade åtkomster och säkerställa att nätverket fungerar problemfritt även när det utsätts för potentiella hot.
Följande ska genomföras
- Skapa en säker trunk
- Säkra oanvända switchportar
- Implementera port säkerhet
- Aktivera DHCP Snooping
- Konfigurera Rapid PVST PortFast och BPDU Guard
Konfigurationer
Skapa en säker trunk
a. Anslut portarna G0/2 på de två åtkomstlagrets switchar.
Här använder du antigen en rak- eller korsad-kabel. Se bilden nedan:
b. Konfigurera portarna G0/1 och G0/2 som statiska trunkar på båda switcharna.
- SW-1> enable
- SW-1# configure terminal
- SW-1(config)# interface range g0/1-2
- SW-1(config-if-range)# switchport mode trunk
- SW-2> enable
- SW-2# configure terminal
- SW-2(config)# interface range g0/1-2
- SW-2(config-if-range)# switchport mode trunk
c. Inaktivera DTP-förhandling på båda sidor av länken.
- SW-1(config-if-range)# switchport nonegotiate
- SW-1(config-if-range)# exit
- SW-1(config)#
- SW-2(config-if-range)# switchport nonegotiate
- SW-2(config-if-range)# exit
- SW-2(config)#
d. Skapa VLAN 100 och ge det namnet Native på båda switcharna.
- SW-1(config)# vlan 100
- SW-1(config-vlan)# name Native
- SW-1(config-vlan)# exit
- SW-1(config)#
- SW-2(config)# vlan 100
- SW-2(config-vlan)# name Native
- SW-2(config-vlan)# exit
- SW-2(config)#
e. Konfigurera alla trunkportar på båda switcharna att använda VLAN 100 som native VLAN.
- SW-1(config)# interface range g0/1-2
- SW-1(config-if-range)# switchport mode trunk
- SW-1(config-if-range)# switchport trunk native vlan 100
- SW-1(config-if-range)# exit
- SW-1(config)#
- SW-2(config)# interface range g0/1-2
- SW-2(config-if-range)# switchport mode trunk
- SW-2(config-if-range)# switchport trunk native vlan 100
- SW-2(config-if-range)# exit
- SW-2(config)#
Säkra oanvända switchportar
a. Inaktivera alla oanvända switchportar på SW-1.
- SW-1(config)# interface range fa0/3-9,fa0/11-23
- SW-1(config-if-range)# shutdown
- SW-1(config-if-range)# exit
- SW-1(config)#
b. På SW-1, skapa VLAN 999 och namnge den BlackHole. Det konfigurerade namnet måste exakt matcha kravet.
- SW-1(config)# vlan 999
- SW-1(config-vlan)# name BlackHole
- SW-1(config-vlan)# exit
- SW-1(config)#
c. Flytta alla oanvända switchportar till VLAN BlackHole.
- SW-1(config)# interface range fa0/3-9,fa0/11-23
- SW-1(config-if-range)# switchport mode access
- SW-1(config-if-range)# switchport access vlan 999
- SW-1(config-if-range)# exit
- SW-1(config)#
Implementera Port Security
a. Aktivera port-security på alla aktiva åtkomstportar på switchen SW-1.
- SW-1(config)# interface range fa0/1-2,fa0/10,fa0/24
- SW-1(config-if-range)# switchport port-security
b. Konfigurera de aktiva portarna att tillåta att högst 4 MAC-adresser kan läras in på portarna.
- SW-1(config-if-range)# switchport port-security maximum 4
SW-1(config-if-range)# exit
SW-1(config)#
c. För portarna F0/1 på SW-1, konfigurera statiskt MAC-adressen för datorn i konfigurationen av port security. På datorn PC1 starta CMD och exekvera kommandot ipconfig /all (kopiera mac-adressen och klistra på terminalen, eller skriv ner).
- SW-1(config)# interface fa0/1
- SW-1(config-if)# switchport port-security mac-adress 0010.11E8.3CBB
- SW-1(config-if)# exit
- SW-1(config)#
d. Konfigurera varje aktiv åtkomstport så att den automatiskt lägger till de MAC-adresser som lärs in på porten till konfigurationsfilen running-config.
- SW-1(config)# interface range fa0/1-2,fa0/10,fa0/24
- SW-1(config-if-range)# switchport port-security mac-address sticky
e. Konfigurera överträdelseläget för port säkerhet för att kassera paket från MAC-adresser som överskrider maxantalet, generera en Syslog-post, men inte inaktivera portarna.
- SW-1(config-if-range)# switchport port-security violation restrict
- SW-1(config-if-range)# exit
- SW-1(config)#
Aktivera DHCP Snooping
a. Konfigurera trunk-portarna på SW-1 som betrodda portar.
- SW-1(config)# interface range g0/1-2
- SW-1(config-if-range)# ip dhcp snooping trust
- SW-1(config-if-range)# exit
- SW-1(config)#
b. Begränsa de icke betrodda portarna på SW-1 till fem DHCP-paket per sekund.
- SW-1(config)# interface range fa0/1-2,fa0/10,fa0/24
- SW-1(config-if-range)# ip dhcp snooping limit rate 5
- SW-1(config-if-range)# exit
- SW-1(config)#
c. På SW-2, aktivera DHCP-snooping globalt och för VLAN 10, 20 och 99.
- SW-2> enable
- SW-2# configure terminal
- SW-2(config)# ip dhcp snooping
- SW-2(config)# ip dhcp snooping vlan 10,20,99
- SW-2(config)#
Observera: DHCP-snooping-konfigurationen kanske inte fungerar korrekt i Packet Tracer.
Konfigurera Rapid PVST PortFast och BPDU Guard
a. Aktivera PortFast på alla använda åtkomstportar på SW-1.
- SW-1(config)# interface range fa0/1-2,fa0/10,fa0/24
- SW-1(config-if-range)# spanning-tree portfast
b. Aktivera BPDU Guard på alla använda åtkomstportar på SW-1.
- SW-1(config-if-range)# spanning-tree bpduguard enable
c. Konfigurera SW-2 så att alla åtkomstportar använder PortFast som standard.
- SW-2>enable
- SW-2# configure terminal
- SW-2(config)# ip dhcp snooping
- SW-2(config)# ip dhcp snooping vlan 10,20,99
- SW-2(config)# spanning-tree portfast default