Packet Tracer - 第 2 层 VLAN 安全

这篇具有很好参考价值的文章主要介绍了Packet Tracer - 第 2 层 VLAN 安全。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Packet Tracer - 第 2 层 VLAN 安全

目标

·         在 SW-1 和 SW-2 之间连接新的冗余链路。

·         启用中继,并在 SW-1 和 SW-2 之间的新中继链路上 配置安全。

·         创建新的管理 VLAN (VLAN 20) 并将管理 PC 连接到 该 VLAN。

·         实施 ACL 以阻止外部用户访问 管理 VLAN。

拓扑图

pt activity: layer 2 vlan security 第2层vlan的安全 topology diagram,CCNA安全,思科实验,智能路由器,网络,运维

背景/ 场景

目前,公司的网络使用两个 独立的 VLAN 进行设置:VLAN 5 和 VLAN 10。此外,使用本征 VLAN 15 配置 所有中继端口。网络管理员想要在 交换机 SW-1 和 SW-2 之间添加冗余链路。链路必须启用中继,并且所有 安全要求应实施到位。

此外,网络管理员想要将 管理 PC 连接到交换机 SW-A。管理员想要让 管理 PC 连接到所有交换机和路由器,但不想任何 其他设备连接到管理 PC 或交换机。出于管理目的, 管理员想要创建新的 VLAN 20。

所有设备都已采用以下信息进行预配置:

o    启用 加密密码:ciscoenpa55

o    控制台 密码:ciscoconpa55

o    SSH 用户名和密码:SSHadmin/ciscosshpa55

第 1 部分:验证 连接。

步骤 1:验证 C2 (VLAN 10) 和 C3 (VLAN 10) 之间的连接。

pt activity: layer 2 vlan security 第2层vlan的安全 topology diagram,CCNA安全,思科实验,智能路由器,网络,运维

pt activity: layer 2 vlan security 第2层vlan的安全 topology diagram,CCNA安全,思科实验,智能路由器,网络,运维

步骤 2:验证 C2 (VLAN 10) 和 D1 (VLAN 5) 之间的连接。

pt activity: layer 2 vlan security 第2层vlan的安全 topology diagram,CCNA安全,思科实验,智能路由器,网络,运维

pt activity: layer 2 vlan security 第2层vlan的安全 topology diagram,CCNA安全,思科实验,智能路由器,网络,运维

注意:如果使用简单的 PDU GUI 数据包,请确保执行 ping 操作两次以允许进行 ARP。

第 2 部分:创建 SW-1 和 SW-2 之间的冗余链路

步骤 1:连接 SW-1 和 SW-2。

使用交叉电缆,将 SW-1 上的端口 F0/23 连接到 SW-2 上的端口 F0/23。

pt activity: layer 2 vlan security 第2层vlan的安全 topology diagram,CCNA安全,思科实验,智能路由器,网络,运维

步骤 2:启用中继,包括 SW-1 和 SW-2 之间的链路上的所有中继安全 机制。

已在所有现有 中继接口上配置了中继。必须为中继配置新的链路,包括所有 中继安全机制。在 SW-1 和 SW-2 上,将端口设置为 中继,将本征 VLAN 15 分配给中继端口,并禁用自动协商功能。

SW-1(config)#interface f0/23

SW-1(config-if)#switchport mode trunk

SW-1(config-if)#switchport trunk native vlan 15

SW-1(config-if)#switchport nonegotiate

SW-1(config-if)#no shutdown

SW-2(config)#interface f0/23

SW-2(config-if)#switchport mode trunk

SW-2(config-if)#switchport trunk native vlan 15

SW-2(config-if)#switchport nonegotiate

SW-2(config-if)#no shutdown

第 3 部分:启用 VLAN 20 作为管理 VLAN

网络管理员想要使用管理 PC 访问所有交换机和 路由设备。出于安全考虑,管理员 想要确保所有托管设备均位于单独的 VLAN 上。

步骤 1:在 SW-A 上启用管理 VLAN (VLAN 20)。

1.   在 SW-A 上启用 VLAN 20。

SW-A(config)#vlan 20

SW-A(config-vlan)#exit

2.     创建接口 VLAN 20 并分配 192.168.20.0/24 网络中的一个 IP 地址。

SW-A(config)#interface vlan 20

SW-A(config-if)#

%LINK-5-CHANGED: Interface Vlan20, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up

SW-A(config-if)#ip address 192.168.20.1 255.255.255.0

步骤 2:在所有其他 交换机上启用同一个管理 VLAN。

1.     在以下所有交换机上创建管理 VLAN:SW-BSW-1SW-2 和 Central

SW-B(config)#vlan 20

SW-B(config-vlan)#exit

SW-1(config)#vlan 20

SW-1(config-vlan)#exit

SW-2(config)#vlan 20

SW-2(config-vlan)#exit

Central(config)#vlan 20

Central(config-vlan)#exit

2.    在所有交换机上创建接口 VLAN 20 并分配 192.168.20.0/24 网络中 的一个 IP 地址。

SW-B(config)#interface vlan 20

SW-B(config-if)#ip address 192.168.20.2 255.255.255.0

SW-1(config)#interface vlan 20

SW-1(config-if)#ip address 192.168.20.3 255.255.255.0

SW-2(config)#interface vlan 20

SW-2(config-if)#ip address 192.168.20.4 255.255.255.0

Central(config)#interface vlan 20

Central(config-if)#ip address 192.168.20.5 255.255.255.0

步骤 3:连接并配置管理 PC。

将管理 PC 连接到 SW-A 端口 F0/1 ,并确保向其分配了 192.168.20.0/24 网络中的可用 IP 地址。

pt activity: layer 2 vlan security 第2层vlan的安全 topology diagram,CCNA安全,思科实验,智能路由器,网络,运维

步骤 4:在 SW-A 上,确保管理 PC 是 VLAN 20 的组成部分。

接口 F0/1 必须是 VLAN 20 的一部分。

SW-A(config)#interface f0/1

SW-A(config-if)#switchport access vlan 20

SW-A(config-if)#no shutdown

步骤 5:验证管理 PC 与所有 交换机的连接。

管理 PC 应能 ping 通 SW-ASW-B、 SW-1SW-2 和 Central

pt activity: layer 2 vlan security 第2层vlan的安全 topology diagram,CCNA安全,思科实验,智能路由器,网络,运维

pt activity: layer 2 vlan security 第2层vlan的安全 topology diagram,CCNA安全,思科实验,智能路由器,网络,运维

pt activity: layer 2 vlan security 第2层vlan的安全 topology diagram,CCNA安全,思科实验,智能路由器,网络,运维

第 4 部分:启用 管理 PC 以访问路由器 R1

步骤 1:在路由器 R1 上启用新的子接口。

1.  创建子接口 g0/0.3 并将封装设置为 dot1q 20 以 用于 VLAN 20。

R1(config)#interface g0/0.3

R1(config-subif)#encapsulation dot1q 20

2.   分配 192.168.20.0/24 网络中的一个 IP 地址。

R1(config)#interface g0/0.3

R1(config-subif)#ip address 192.168.20.100 255.255.255.0

步骤 2:验证管理 PC 和 R1 之间的连接。

务必在管理 PC 上配置默认网关以允许连接。

步骤 3:启用安全性。

虽然管理 PC 必须能够访问路由器, 但是其他 PC 不能访问管理 VLAN。

1.     创建一个只允许管理 PC 访问路由器的 ACL。

R1(config)#access-list 101 deny ip any 192.168.20.0 0.0.0.255

R1(config)# access-list 101 permit ip any any

R1(config)#access-list 102 permit ip host 192.168.20.6 any

2.     将该 ACL 应用到正确的接口。

R1(config)#interface g0/0.1

R1(config-subif)#ip access-group 101 in

R1(config-subif)#interface g0/0.2

R1(config-subif)#ip access-group 101 in

R1(config-subif)#line vty 0 4

R1(config-line)#access-class 102 in

注意:可以通过多种方式创建 ACL 以实现必要的安全性。因此,对此练习的 这一部分进行评分时基于正确的连接要求。 管理 PC 必须能够连接到所有交换机和路由器。所有 其他 PC 都不能连接到管理 VLAN 中的任何设备。

步骤 4:验证安全。

a.     验证只有管理 PC 可访问路由器。使用 SSH 访问 R1 ,使用用户名 SSHadmin 和密码 ciscosshpa55

PC> ssh -l SSHadmin 192.168.20.100

pt activity: layer 2 vlan security 第2层vlan的安全 topology diagram,CCNA安全,思科实验,智能路由器,网络,运维

  1.      从管理 PC ping 通 SW-ASW-B 和 R1。 ping 操作是否成功?说明原因。

pt activity: layer 2 vlan security 第2层vlan的安全 topology diagram,CCNA安全,思科实验,智能路由器,网络,运维

ping 应该已成功,因为 192.168.20.0 网络中的所有设备都应该能够相互 ping 操作。VLAN20 中的设备不需要通过路由器进行路由。

2.   从 D1 ping 通管理 PC。ping 操作是否成功? 说明原因。

pt activity: layer 2 vlan security 第2层vlan的安全 topology diagram,CCNA安全,思科实验,智能路由器,网络,运维

pt activity: layer 2 vlan security 第2层vlan的安全 topology diagram,CCNA安全,思科实验,智能路由器,网络,运维

pt activity: layer 2 vlan security 第2层vlan的安全 topology diagram,CCNA安全,思科实验,智能路由器,网络,运维

pt activity: layer 2 vlan security 第2层vlan的安全 topology diagram,CCNA安全,思科实验,智能路由器,网络,运维

ping 应该失败,因为要使不同 VLAN 中的设备成功 ping VLAN20 中的设备,必须对其进行路由。路由器具有阻止所有数据包访问 192.168.20.0 网络的 ACL

步骤 5:检查结果。

完成比例应为 100%。点击 Check Results(检查结果)以查看反馈并验证已完成的所需组件。

如果所有组件似乎都是正确的,但练习 仍显示未完成,则可能是由于验证 ACL 工作原理的连接测试 造成的。

实验具体步骤:

SW-1:

SW-1>en

Password:

SW-1#conf t

Enter configuration commands, one per line. End with CNTL/Z.

SW-1(config)#interface f0/23

SW-1(config-if)#switchport mode trunk

SW-1(config-if)#switchport trunk native vlan 15

SW-1(config-if)#switchport nonegotiate

SW-1(config-if)#no shutdown



%LINK-5-CHANGED: Interface FastEthernet0/23, changed state to down

SW-1(config-if)#exit

SW-1(config)#vlan 20

SW-1(config-vlan)#exit

SW-1(config)#interface vlan 20

SW-1(config-if)#

%LINK-5-CHANGED: Interface Vlan20, changed state to up



%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up



SW-1(config-if)#ip address 192.168.20.3 255.255.255.0

SW-1(config-if)#exit

SW-1(config)#end

SW-1#

%SYS-5-CONFIG_I: Configured from console by console



SW-1#wr

Building configuration...

[OK]

SW-1#

SW-2:

SW-2>en

Password:

SW-2#conf t

Enter configuration commands, one per line. End with CNTL/Z.

SW-2(config)#interface f0/23

SW-2(config-if)#switchport mode trunk

SW-2(config-if)#switchport trunk native vlan 15

SW-2(config-if)#switchport nonegotiate

SW-2(config-if)#no shutdown



%LINK-5-CHANGED: Interface FastEthernet0/23, changed state to down

SW-2(config-if)#exit

SW-2(config)#vlan 20

SW-2(config-vlan)#exit

SW-2(config)#interface vlan 20

SW-2(config-if)#

%LINK-5-CHANGED: Interface Vlan20, changed state to up



%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up



SW-2(config-if)#ip address 192.168.20.4 255.255.255.0

SW-2(config-if)#exit

SW-2(config)#end

SW-2#

%SYS-5-CONFIG_I: Configured from console by console



SW-2#wr

Building configuration...

[OK]

SW-2#

SW-A:

SW-A>en

Password:

SW-A#conf t

Enter configuration commands, one per line. End with CNTL/Z.

SW-A(config)#interface f0/1

SW-A(config-if)#switchport access vlan 20

SW-A(config-if)#no shutdown

SW-A(config-if)#

%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up



%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up



SW-A(config-if)#exit

SW-A(config)#end

SW-A#

%SYS-5-CONFIG_I: Configured from console by console



SW-A#wr

Building configuration...

[OK]

SW-A#

SW-B:

SW-B>en

Password:

SW-B#conf t

Enter configuration commands, one per line. End with CNTL/Z.

SW-B(config)#vlan 20

SW-B(config-vlan)#exit

SW-B(config)#interface vlan 20

SW-B(config-if)#

%LINK-5-CHANGED: Interface Vlan20, changed state to up



%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up



SW-B(config-if)#ip address 192.168.20.2 255.255.255.0

SW-B(config-if)#exit

SW-B(config)#end

SW-B#

%SYS-5-CONFIG_I: Configured from console by console



SW-B#wr

Building configuration...

[OK]

SW-B#

Central:

Central>en

Password:

Central#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Central(config)#vlan 20

Central(config-vlan)#exit

Central(config)#interface vlan 20

Central(config-if)#

%LINK-5-CHANGED: Interface Vlan20, changed state to up



%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up



Central(config-if)#ip address 192.168.20.5 255.255.255.0

Central(config-if)#exit

Central(config)#end

Central#

%SYS-5-CONFIG_I: Configured from console by console



Central#wr

Building configuration...

[OK]

Central#

R1:

R1>en

Password:

R1#conf t

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)#interface g0/0.3

R1(config-subif)#

%LINK-5-CHANGED: Interface GigabitEthernet0/0.3, changed state to up



%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0.3, changed state to up



R1(config-subif)#encapsulation dot1q 20

R1(config-subif)#ip address 192.168.20.100 255.255.255.0

R1(config-subif)#exit

R1(config)#access-list 101 deny ip any 192.168.20.0 0.0.0.255

R1(config)# access-list 101 permit ip any any

R1(config)#access-list 102 permit ip host 192.168.20.6 any

R1(config)#interface g0/0.1

R1(config-subif)#ip access-group 101 in

R1(config-subif)#interface g0/0.2

R1(config-subif)#ip access-group 101 in

R1(config-subif)#line vty 0 4

R1(config-line)#access-class 102 in

R1(config-line)#exit

R1(config)#end

R1l#

%SYS-5-CONFIG_I: Configured from console by console



R1#wr

Building configuration...

[OK]

R1#

实验脚本:

SW-1

en

ciscoenpa55

conf t

interface f0/23

switchport mode trunk

switchport trunk native vlan 15

switchport nonegotiate

no shutdown

exit

vlan 20

exit

interface vlan 20

ip address 192.168.20.3 255.255.255.0

exit

end

wr

SW-2

en

ciscoenpa55 

conf t

interface f0/23

switchport mode trunk

switchport trunk native vlan 15

switchport nonegotiate

no shutdown

exit

vlan 20

exit

interface vlan 20

SW-2(config-if)#

ip address 192.168.20.4 255.255.255.0

exit

end

wr

SW-A

en

ciscoenpa55

conf t

interface f0/1

switchport access vlan 20

no shutdown

exit

end

wr

SW-B

en

ciscoenpa55

conf t

vlan 20

exit

interface vlan 20

ip address 192.168.20.2 255.255.255.0

exit

end

wr

Central

en

ciscoenpa55

conf t

vlan 20

exit

interface vlan 20

ip address 192.168.20.5 255.255.255.0

exit

end

wr

R1:

en

ciscoenpa55

conf t

interface g0/0.3

encapsulation dot1q 20

ip address 192.168.20.100 255.255.255.0

exit

access-list 101 deny ip any 192.168.20.0 0.0.0.255

access-list 101 permit ip any any

access-list 102 permit ip host 192.168.20.6 any

interface g0/0.1

ip access-group 101 in

interface g0/0.2

ip access-group 101 in

line vty 0 4

access-class 102 in

exit

end

wr

实验链接:https://pan.baidu.com/s/1FaSOwXenBEfxN3SX-0Rw4w?pwd=6313

提取码:6313

--来自百度网盘超级会员V2的分享文章来源地址https://www.toymoban.com/news/detail-770361.html

到了这里,关于Packet Tracer - 第 2 层 VLAN 安全的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【Cisco Packet Tracer】生成树协议STP的功能及虚拟局域网VLAN

    ​​ 🌈个人主页: Sarapines Programmer 🔥 系列专栏: 《Cisco Packet Tracer | 奇遇记》 ⏰诗赋清音:烛龙拂霓裳,彩练轻飘舞。 星汉璀璨如夜明,青云剑意闯长路。 目录 ⛳️1. Cisco Packet Tracer简介 ⛳️2. 生成树协议STP的功能及虚拟局域网VLAN 2.1 实验目的 2.2 实验环境 2.3 实验内

    2024年02月03日
    浏览(40)
  • Packet Tracer - 综合技能练习(配置 VLAN、中继、DHCP 服务器、DHCP 中继代理,并将路由器配置为 DHCP 客户端)

    Packet Tracer - 综合技能练习 地址分配表 设备 接口 IP 地址 子网掩码 默认网关 R1 G0/0.10 172.31.10.1 255.255.255.224 不适用 G0/0.20 172.31.20.1 255.255.255.240 不适用 G0/0.30 172.31.30.1 255.255.255.128 不适用 G0/0.40 172.31.40.1 255.255.255.192 不适用 G0/1 已分配 DHCP 已分配 DHCP 不适用 PC1 NIC 已分配 DHCP 已分

    2024年02月03日
    浏览(50)
  • 专题五 在Cisco Packet Tracer中设计基于 PT 和 OneNet 的智能家居系统

            智能家居是物联网在家庭中的基础应用,随着宽带业务的普及,智能家居产品涉及到方方面面。 家中无人,可利用手机等产品客户端远程操作智能空调,调节室温,甚者还可以学习用户的使用习惯,从而实现全自动的温控操作,使用户在炎炎夏季回家就能享受到

    2024年01月17日
    浏览(47)
  • VAP and VLAN: Enhancing Network Flexibility and Security

    Flexibility and security are crucial factors in building a reliable network infrastructure. Virtual AP (VAP) and Virtual Local Area Network (VLAN) are two key technologies that provide powerful tools for network administrators to achieve network flexibility and security. This article will introduce the concepts, functionalities, and applications of VAP and V

    2024年02月12日
    浏览(38)
  • Packet Tracer - 配置交换机端口安全

    Packet Tracer - 配置交换机端口安全 地址分配表 设备 接口 IP 地址 子网掩码 S1 VLAN 1 10.10.10.2 255.255.255.0 PC1 NIC 10.10.10.10 255.255.255.0 PC2 NIC 10.10.10.11 255.255.255.0 非法笔记本电脑 NIC 10.10.10.12 255.255.255.0 目标 第 1 部分:配置端口安全 第 2 部分:验证端口安全 拓扑图   背景信息 在本练

    2024年02月06日
    浏览(47)
  • Packet Tracer - 交换机安全配置解析

    第一步先连线SW1连到SW2接口连接G0/2到G0/2 指令配置 SW-1 SW-1enable SW-1#conf t Enter configuration commands, one per line.  End with CNTL/Z. SW-1(config)#interface range G0/1-2 SW-1(config-if-range)#switchport mode  SW-1(config-if-range)#switchport nonegotiate SW-1(config-if-range)#vlan 100 SW-1(config-vlan)#name Native SW-1(config-vlan)#in

    2024年04月24日
    浏览(35)
  • Packet Tracer - 配置安全密码和 SSH

    地址分配表 场景 网络管理员要求您准备RTA 和SW1用于部署。在连接到网络之前,必须启用 安全措施。 说明 步骤 1:在路由器上 配置基本安全策略 打开命令提示符 a.根据地址分配表在PCA上配置 IP 编址。 关闭命令提示符 打开配置窗口 b.从 PCA 上的终端,通过 控制台连接到RT

    2024年02月05日
    浏览(55)
  • Packet Tracer - 交换机端口安全故障排除

    Packet Tracer - 交换机端口安全故障排除 场景 通常使用 PC1 的员工将家里的笔记本电脑带来,然后断开 PC1 的连接并将笔记本电脑连接到电信插座。 在提醒此安全策略不支持在网络上使用个人设备后,您必须重新连接 PC1 并重新启用端口。 拓扑图   要求 ·           断开 家

    2024年02月08日
    浏览(45)
  • Cisco Packet Tracer实战 - 网络设备安全配置综合实训

    网络搭建 根据所给定的拓扑要求,将给定的网络设备互连,搭建物理网络。 2. IP 地址规划 根据要求确定所需子网的数量,每个子网的主机数量,设计适当的编址方案,填写网络地址规划表和设备地址表。 3. 网络设备的安全配置 根据任务书中指出的安全需求,完成数据网络

    2024年03月16日
    浏览(54)
  • 网络安全学习(十七)VlAN

    vlan是二层技术,路由器上不能配置vlan表 主要应用在交换机上 广播的危害:增加网络/终端负担,传播病毒,安全性 路由器也可以隔离,但有缺点         成本高         不灵活 1.目的         • 划分广播域         • 增强网络安全性         • 简化了网络的管理 2.v

    2024年02月05日
    浏览(57)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包