信息安全与攻防 之 DCRS配置

  • 2019-05-30
  • 0
  • 1

1.总部核心交换机DCRS上开启SSH远程管理功能, 本地认证用户名:2019DCN,密码:DCN2011;

DCRS(config)#username 2019DCN privilege 15 password 0 DCN2011
DCRS(config)#ssh-server enable 

2.总部启用MSTP协议,NAME为DCN2012、 Revision-level 1,实例1中包括VLAN10;实例2中包括VLAN20、要求两条链路负载分担,其中VLAN10业务数据在E1/0/4进行数据转发,要求VLAN20业务数据在E1/0/5进行数据转发,通过在DCWS两个端口设置COST值 2000000实现;配置DCRS连接终端接口立即进入转发模式且在收到BPDU时自动关闭端口;防止从DCWS方向的根桥抢占攻击

DCRS(config)#vlan 10
DCRS(config-vlan10)#vlan 20
switchport mode trunk
switchport trunk allowed vlan 10;20
DCRS(config)#spanning-tree 
DCRS(config)#spanning-tree mst configuration 
DCRS(config-mstp-region)#name DCN2012
DCRS(config-mstp-region)#revision-level 1
DCRS(config-mstp-region)#instance 1 vlan 10
DCRS(config-mstp-region)#instance 2 vlan 20
DCWS-6028(config)#int e 1/0/4
DCWS-6028(config-if-ethernet1/0/4)#spanning-tree mst 2 cost 2000000
DCWS-6028(config)#int e 1/0/5
DCWS-6028(config-if-ethernet1/0/5)#spanning-tree mst 1 cost 2000000
DCRS(config-if-ethernet1/0/4)#spanning-tree portfast bpduguard 
DCRS(config-if-ethernet1/0/4)#spanning-tree mst 1 rootguard 
DCRS(config-if-ethernet1/0/4)#spanning-tree mst 2 rootguard
DCRS(config-if-ethernet1/0/5)#spanning-tree mst 1 rootguard 
DCRS(config-if-ethernet1/0/5)#spanning-tree mst 2 rootguard

3.尽可能加大总部核心交换机DCRS与防火墙DCFW之间的带宽

端口聚合

4.配置使总部VLAN10,30,40业务的用户访问INTERNET往返数据流都经过DCFW进行最严格的安全防护

配置路由使数据流都经过DCFW

5. 总部核心交换机DCRS上实现VLAN40业务内部终端相互二层隔离

isolate-port group 1 
isolate-port group 1 switchport  interface ethernet1/0/1 

6.启用环路检测,环路检测的时间间隔为10s,发现环路以后关闭该端口,恢复时间为30分钟

loopback-detection
interval-time 10 10 
loopback-detection  control-recovery 1800
interface ethernet1/0/1   loopback-detection special-vlan 3 loopback-detection control block 

7.总部核心交换机DCRS检测到 VLAN40中私设DHCP服务器关闭该端口

 ip dhcp snooping enable     int eth1/0/2( dhcp server) 

8. 总部核心交换机DCRS开启某项功能,防止VLAN40下ARP欺骗攻击

switch(config)#interface ethernet1/0/1 
switch(Config-If-Ethernet1/0/1)#arp-guard ip 192.168.40.1 (dhcp server ip)
ip dhcp dnooping trust

9. 总部核心交换机DCRS上实现访问控制,在E1/0/14端口上配置MAC地址为00-03-0f-00-00-01的主机不能访问MAC地址为00-00-00-00-00-ff的主机 firewall enable

 firewall enable  
access-list 1100 deny host-source-mac  00-03-0f-00-00-01 host-destination-mac
00-00-00-00-00-ff
int ethernet 1/0/14
mac access-group 1100 in

10. 2017年勒索蠕虫病毒席卷全球,爆发了堪称史上最大规模的网络攻击,通过对总部核心交换机DCRS所有业务VLAN下配置访问控制策略实现双向安全防护

acl策略 关闭 tcp/udp 135 137 138 139 445 端口 应用到端口上

11. 总部部署了一套网管系统实现对核心DCRS交换机进行管理,网管系统IP为:172.16.100.21,读团体值为:DCN2011,版本为V2C,交换机DCRS Trap信息实时上报网管,当MAC地址发生变化时,也要立即通知网管发生的变化,每35s发送一次

SW-Core(config)#snmp-server
enable
SW-Core(config)#snmp-server
host 10.20.200.50 v2c 2018Net_R
SW-Core(config)#snmp-server
community ro 0 2018Net_R
SW-Core(config)#snmp-server
enable traps
SW-Core(config)#snmp-server
enable traps mac-notification
SW-Core(config)#mac-address query timeout 30

12.总部核心交换机DCRS出口往返流量发送给DCBI,由DCBI对收到的数据进行用户所要求的分析

镜像(包括入和出)

评论

  • NanKeYM回复

    写的很棒,谢谢博主