Giáo trình thực hành BCMSN Chương 8 – Giảm thiểu thất thoát Dịch vụ và Mất cắp dữ liệu trong mạng Campus 171 C C h h ư ư ơ ơ n n g g 8 8 - - G G i i ả ả m m T T h h i i ể ể u u T T h h ấ ấ t t T T h h o o á á t t D D ị ị c c h h V V ụ ụ V V à à M M ấ ấ t t C C ắ ắ p p D D ữ ữ L L i i ệ ệ u u T T r r o o n n g g M M ạ ạ n n g g C C a a m m p p u u s s B B à à i i 8 8 . . 1 1 C C ấ ấ u u h h ì ì n n h h b b ả ả o o m m ậ ậ t t c c h h o o s s w w i i c c h h v v à à c c h h ố ố n n g g t t ấ ấ n n c c ô ô n n g g M M A A C C f f l l o o o o d d 8 8 . . 1 1 . . 1 1 S S ơ ơ đ đ ồ ồ l l u u ậ ậ n n l l ý ý Hình 8.1.1-1: Hình vẽ sơ đồ luận lý 8 8 . . 1 1 . . 2 2 M M ụ ụ c c t t i i ê ê u u c c ủ ủ a a b b à à i i t t h h ự ự c c h h à à n n h h Cấu hình bảo mật cho switch và cấu hình bảo mật cho các cổng kết nối các thiết bị 8 8 . . 1 1 . . 3 3 H H ư ư ớ ớ n n g g d d ẫ ẫ n n c c ấ ấ u u h h ì ì n n h h v v à à h h ì ì n n h h v v ẽ ẽ m m i i n n h h h h ọ ọ a a Bước 1: Cấu hình cơ bản cho các Switch; cấu hình kết nối từ xa sử dụng SSH với chứng thực local và kết nối console chứng thực local với username Pronet và passwod cisco123 Cấu hình cơ bản và kết nối từ xa sử dụng SSH trên SW2950_01 Switch(config)#hostname SW2950_01 SW2950_01(config)#enable secret cisco123 SW2950_01(config)#username Pronet password cisco123 SW2950_01(config)#ip domain-name pronet.com SW2950_01(config)#crypto key generate rsa SW2950_01(config)#ip ssh version 2 SW2950_01(config)#line vty 0 15 SW2950_01(config-line)#login local SW2950_01(config-line)#exit SW2950_01(config)#line console 0 SW2950_01(config-line)#login local SW2950_01(config-line)#exit Cấu hình cơ bản và kết nối từ xa sử dụng SSH trên SW2950_02 Giáo trình thực hành BCMSN Chương 8 – Giảm thiểu thất thoát Dịch vụ và Mất cắp dữ liệu trong mạng Campus 172 Switch(config)#hostname SW2950_02 SW2950_02(config)#enable secret cisco123 SW2950_02(config)#username Pronet password cisco123 SW2950_02(config)#ip domain-name pronet.com SW2950_02(config)#crypto key generate rsa SW2950_02(config)#ip ssh version 2 SW2950_02(config)#line vty 0 15 SW2950_02(config-line)#login local SW2950_02(config-line)#exit SW2950_02(config)#line console 0 SW2950_02(config-line)#login local SW2950_02(config-line)#exit Bước 2: Cấu hình trunk cho các interface Fa0/1 và Fa0/2 trên các Switch Cấu hình interface trunk trên SW2950_01 SW2950_01(config)#interface range fastEthernet 0/1 - 2 SW2950_01(config-if-range)#switchport mode trunk SW2950_01(config-if-range)#exit Cấu hình interface trunk trên SW2950_02 SW2950_02(config)#interface range fastEthernet 0/1 - 2 SW2950_02(config-if-range)#switchport mode trunk SW2950_02(config-if-range)#exit Bước 3: Cấu hình VLAN trên các switch như sau: VLAN 10, 20, 30 và 40. Cấu hình VLAN trên SW2950_01 SW2950_01(config)#vlan 10 SW2950_01(config-vlan)#name VLAN10 SW2950_01(config-vlan)#vlan 20 SW2950_01(config-vlan)#name VLAN20 SW2950_01(config-vlan)#vlan 30 SW2950_01(config-vlan)#name VLAN30 SW2950_01(config-vlan)#vlan 40 SW2950_01(config-vlan)#name VLAN40 Giáo trình thực hành BCMSN Chương 8 – Giảm thiểu thất thoát Dịch vụ và Mất cắp dữ liệu trong mạng Campus 173 Cấu hình VLAN trên SW2950_02 SW2950_02(config)#vlan 10 SW2950_02(config-vlan)#name VLAN10 SW2950_02(config-vlan)#vlan 20 SW2950_02(config-vlan)#name VLAN20 SW2950_02(config-vlan)#vlan 30 SW2950_02(config-vlan)#name VLAN30 SW2950_02(config-vlan)#vlan 40 SW2950_02(config-vlan)#name VLAN40 Bước 4: Cấu hình port security với chế độ protect trên các switch để chống tấn công MAC flood sử dụng dynamic với tối đa 5 địa chỉ MAC Cấu hình port security trên SW2950_01 SW2950_01(config)#interface fa0/3 – 24 SW2950_01(config-if-range)#switchport mode access SW2950_01(config-if-range)#switchport port-security SW2950_01(config-if-range)#switchport port-security maximum 5 SW2950_01(config-if-range)#switchport port-security violation protect SW2950_01(config-if-range)#exit Cấu hình port security trên SW2950_02 SW2950_02(config)#interface fa0/3 – 24 SW2950_02(config-if-range)#switchport mode access SW2950_02(config-if-range)#switchport port-security SW2950_02(config-if-range)#switchport port-security maximum 5 SW2950_02(config-if-range)#switchport port-security violation protect SW2950_02(config-if-range)#exit Bước 5: Dùng lệnh show để kiểm tra sự hoạt động của port secure trên các switch. Kiểm tra port security trên SW2950_01 Giáo trình thực hành BCMSN Chương 8 – Giảm thiểu thất thoát Dịch vụ và Mất cắp dữ liệu trong mạng Campus 174 Hình 8.1.3-1: Show port-security trên SW2950_01 Hình 8.1.3-2: Show mac-address-table trên SW2950_01 Giáo trình thực hành BCMSN Chương 8 – Giảm thiểu thất thoát Dịch vụ và Mất cắp dữ liệu trong mạng Campus 175 Kiểm tra port security trên SW2950_02 Hình 8.1.3-3: Show port-security và Show mac-address-table trên SW2950_02 Hình 8.1.3-4: Show mac-address-table trên SW2950_02 Bước 6: Xóa cấu hình, khởi động lại thiết bị, hoàn trả lại thiết bị và hoàn tất bài lab. Giáo trình thực hành BCMSN Chương 8 – Giảm thiểu thất thoát Dịch vụ và Mất cắp dữ liệu trong mạng Campus 176 B B à à i i 8 8 . . 2 2 B B à à i i 2 2 : : C C ấ ấ u u h h ì ì n n h h b b ả ả o o m m ậ ậ t t c c h h ố ố n n g g D D H H C C P P s s p p o o o o f f i i n n g g 8 8 . . 2 2 . . 1 1 S S ơ ơ đ đ ồ ồ l l u u ậ ậ n n l l ý ý Hình 8.2.1-1: Hình vẽ sơ đồ luận lý 8 8 . . 2 2 . . 2 2 M M ụ ụ c c t t i i ê ê u u c c ủ ủ a a b b à à i i t t h h ự ự c c h h à à n n h h Cấu hình switch3 là DHCP server cho VLAN 20, cấu hình trên switch1 và switch2 cho phép các máy trạm nhận DHCP từ switch3 8 8 . . 2 2 . . 3 3 H H ư ư ớ ớ n n g g d d ẫ ẫ n n c c ấ ấ u u h h ì ì n n h h v v à à h h ì ì n n h h v v ẽ ẽ m m i i n n h h h h ọ ọ a a Bước 1: Cấu hình cơ bản cho các Switch Cấu hình cơ bản cho SW2950_01 Switch(config)#hostname SW2950_01 SW2950_01 (config)#enable password cisco SW2950_01 (config)#no ip domain-lookup SW2950_01 (config)#banner motd ^CSwitch 2950^C SW2950_01 (config)#line console 0 SW2950_01 (config-line)# logging synchronous SW2950_01 (config-line)# password cisco SW2950_01 (config-line)# login SW2950_01 (config)#line vty 0 4 SW2950_01 (config-line)# password cisco SW2950_01 (config-line)# login Cấu hình cơ bản cho SW2950 Switch(config)#hostname SW2950_02 SW2950_02 (config)#enable password cisco Giáo trình thực hành BCMSN Chương 8 – Giảm thiểu thất thoát Dịch vụ và Mất cắp dữ liệu trong mạng Campus 177 SW2950_02 (config)#no ip domain-lookup SW2950_02 (config)#banner motd ^CSwitch 2950^C SW2950_02 (config)#line console 0 SW2950_02 (config-line)# logging synchronous SW2950_02 (config-line)# password cisco SW2950_02 (config-line)# login SW2950_02 (config)#line vty 0 4 SW2950_02 (config-line)# password cisco SW2950_02 (config-line)# login Cấu hình cơ bản cho SW3560 Switch(config)#hostname SW3560_03 SW3560_03 (config)#enable password cisco SW3560_03 (config)#no ip domain-lookup SW3560_03 (config)#banner motd ^CSwitch 3560^C SW3560_03 (config)#line console 0 SW3560_03 (config-line)# logging synchronous SW3560_03 (config-line)# password cisco SW3560_03 (config-line)# login SW3560_03 (config)#line vty 0 4 SW3560_03 (config-line)# password cisco SW3560_03 (config-line)# login Bước 2: Cấu hình trunk cho các interface Fa0/1 và Fa0/2 trên các Switch Cấu hình interface trunk trên SW2950_01 SW2950_01(config)#interface range fastEthernet 0/1 - 2 SW2950_01(config-if-range)#switchport mode trunk SW2950_01(config-if-range)#exit Cấu hình interface trunk trên SW2950_02 SW2950_02(config)#interface range fastEthernet 0/1 - 2 SW2950_02(config-if-range)#switchport mode trunk SW2950_02(config-if-range)#exit Cấu hình interface trunk trên SW3560_03 SW3560(config)#interface range fastEthernet 0/1 - 2 SW3560(config-if-range)#switchport trunk encapsulation dot1Q SW3560(config-if-range)#switchport mode trunk Giáo trình thực hành BCMSN Chương 8 – Giảm thiểu thất thoát Dịch vụ và Mất cắp dữ liệu trong mạng Campus 178 Bước 3: Cấu hình VLAN trên các switch như sau: VLAN 10, 20, 30 và 40. Cấu hình VLAN trên SW2950_01 SW2950_01(config)#vlan 10 SW2950_01(config-vlan)#name VLAN10 SW2950_01(config-vlan)#vlan 20 SW2950_01(config-vlan)#name VLAN20 SW2950_01(config-vlan)#vlan 30 SW2950_01(config-vlan)#name VLAN30 SW2950_01(config-vlan)#vlan 40 SW2950_01(config-vlan)#name VLAN40 Cấu hình VLAN trên SW2950_02 SW2950_02(config)#vlan 10 SW2950_02(config-vlan)#name VLAN10 SW2950_02(config-vlan)#vlan 20 SW2950_02(config-vlan)#name VLAN20 SW2950_02(config-vlan)#vlan 30 SW2950_02(config-vlan)#name VLAN30 SW2950_02(config-vlan)#vlan 40 SW2950_02(config-vlan)#name VLAN40 Cấu hình VLAN trên SW3560_03 SW3560_03(config)#vlan 10 SW3560_03 (config-vlan)#name VLAN10 SW3560_03 (config-vlan)#vlan 20 SW3560_03 (config-vlan)#name VLAN20 SW3560_03 (config-vlan)#vlan 30 SW3560_03 (config-vlan)#name VLAN30 SW3560_03 (config-vlan)#vlan 40 SW3560_03 (config-vlan)#name VLAN40 Bước 4: Cấu hình Switch3 là DHCP cho VLAN 20 với network 172.16.20.0/24 Bước 5: Cấu hình switch1 và switch2 cho phép các máy trạm nhận DHCP từ switch3 Cấu hình trên SW2950_01 SW2950_01(config)#ip dhcp snooping Giáo trình thực hành BCMSN Chương 8 – Giảm thiểu thất thoát Dịch vụ và Mất cắp dữ liệu trong mạng Campus 179 SW2950_01(config)#int fa0/2 SW2950_01(config-if)#ip dhcp snooping trust SW2950_01(config-if)#exit SW2950_01(config)#int range fa0/10 - 24 SW2950_01(config-if-range)#ip dhcp snooping limit rate 20 SW2950_01(config-if-range)#exit SW2950_01(config)#ip dhcp snooping vlan 20 SW2950_01(config)#exit Cấu hình trên SW2950_02 SW2950_02(config)#ip dhcp snooping SW2950_02(config)#interface fastEthernet 0/2 SW2950_02(config-if)#ip dhcp snooping trust SW2950_02(config-if)#exit SW2950_02(config)#interface range fastEthernet 0/10 - 24 SW2950_02(config-if-range)#ip dhcp snooping limit rate 20 SW2950_02(config-if-range)#exit SW2950_02(config)#ip dhcp snooping 20 SW2950_02(config)#ip dhcp snooping vlan 20 Bước 6: Dùng lệnh show để kiểm tra sự cấu hình. Hình 8.2.3-1: Show ip dhcp snooping trên SW2950_01 Giáo trình thực hành BCMSN Chương 8 – Giảm thiểu thất thoát Dịch vụ và Mất cắp dữ liệu trong mạng Campus 180 Hình 8.2.3-2: Show ip dhcp snopping trên SW2950_02 Bước 7: Xóa cấu hình, khởi động lại thiết bị, hoàn trả lại thiết bị và hoàn tất bài lab. [...]... BCMSN Chương 8 – Giảm thiểu thất thoát Dịch vụ và Mất cắp dữ liệu trong mạng Campus Bài 8. 3 Cấu hình bảo mật mạng lớp 2 ngăn chặn truy nhập trái phép vào mạng sử dụng AAA và dot1x 8. 3.1 Sơ đồ luận lý Hình 8. 3.1-1: Hình vẽ sơ đồ luận lý 8. 3.2 Mục tiêu của bài thực hành Cấu hình switch2 khi các thiết bị truy nhập mạng yêu cầu chứng thực, nếu chứng thực thành công thì cho phép kết nối vào mạng 8. 3.3 Hướng... lại thiết bị và hoàn tất bài lab 186 Giáo trình thực hành BCMSN Chương 8 – Giảm thiểu thất thoát Dịch vụ và Mất cắp dữ liệu trong mạng Campus Bài 8. 7 Bai nang cao: IP Service Level Agreements in a Campus Environment 8. 7.1 Sơ đồ luận lý 8. 7.2 Mục tiêu của bài thực hành: Cấu hình HSRP trên 8. 7.3 Hướng dẫn: Bước 1: Cấu hình cơ bản cho các Switch Bước 2: Cấu hình trunnk cho các interface Fa0/1 và Fa0/2 trên... tra sự cấu hình và hoạt động của cổng Fa0/6 trên Switch Hình 8. 3.3-1: Show dot1x interface trên SW2950_02 Bước 6: Xóa cấu hình, khởi động lại thiết bị, hoàn trả lại thiết bị và hoàn tất bài lab 183 Giáo trình thực hành BCMSN Chương 8 – Giảm thiểu thất thoát Dịch vụ và Mất cắp dữ liệu trong mạng Campus Bài 8. 4 Bài 4: Securing VLANs with Private VLANs, RACLs, and VACLs 8. 4.1 Sơ đồ luận lý 8. 4.2 Mục tiêu... Fa0/1 và Fa0/2 trên các Switch Bước 3: Cấu hình VLAN trên các switch như sau: VLAN 10, 20, 30 và 40 Bước 4: Bước 5: Dùng lệnh show để kiểm tra sự hoạt động của HSRP trên các Switch3 và Switch4 Bước 6: Xóa cấu hình, khởi động lại thiết bị, hoàn trả lại thiết bị và hoàn tất bài lab 185 Giáo trình thực hành BCMSN Chương 8 – Giảm thiểu thất thoát Dịch vụ và Mất cắp dữ liệu trong mạng Campus Bài 8. 6 Bai... trả lại thiết bị và hoàn tất bài lab 184 Giáo trình thực hành BCMSN Chương 8 – Giảm thiểu thất thoát Dịch vụ và Mất cắp dữ liệu trong mạng Campus Bài 8. 5 Bài 5: Securing Spanning Tree Protocol BPDU guard root guard Protect switchports from unidirectional links with UDLD 8. 5.1 Sơ đồ luận lý 8. 5.2 Mục tiêu của bài thực hành Cấu hình HSRP trên 8. 5.3 Hướng dẫn cấu hình và hình vẽ minh họa Bước 1: Cấu hình... (config)#line console 0 181 Giáo trình thực hành BCMSN Chương 8 – Giảm thiểu thất thoát Dịch vụ và Mất cắp dữ liệu trong mạng Campus SW2950_02 (config-line)# logging synchronous SW2950_02 (config-line)# password cisco SW2950_02 (config-line)# login SW2950_02 (config)#line vty 0 4 SW2950_02 (config-line)# password cisco SW2950_02 (config-line)# login Bước 2: Cấu hình trunk cho các interface Fa0/1 và Fa0/2 trên... SW2950_02(config-vlan)#name VLAN10 SW2950_02(config-vlan)#vlan 20 SW2950_02(config-vlan)#name VLAN20 SW2950_02(config-vlan)#vlan 30 SW2950_02(config-vlan)#name VLAN30 182 Giáo trình thực hành BCMSN Chương 8 – Giảm thiểu thất thoát Dịch vụ và Mất cắp dữ liệu trong mạng Campus SW2950_02(config-vlan)#vlan 40 SW2950_02(config-vlan)#name VLAN40 Bước 4: cấu hình chứng thực AAA local trên switch SW2950_02(config)#username... Switched Network Case Study 8. 6.1 Sơ đồ luận lý 8. 6.2 Mục tiêu của bài thực hành: Cấu hình HSRP trên 8. 6.3 Hướng dẫn: Bước 1: Cấu hình cơ bản cho các Switch Bước 2: Cấu hình trunnk cho các interface Fa0/1 và Fa0/2 trên các Switch Bước 3: Cấu hình VLAN trên các switch như sau: VLAN 10, 20, 30 và 40 Bước 4: Bước 5: Dùng lệnh show để kiểm tra sự hoạt động của HSRP trên các Switch3 và Switch4 Bước 6: Xóa cấu... HSRP trên 8. 4.3 Hướng dẫn cấu hình và hình vẽ minh họa Bước 1: Cấu hình cơ bản cho các Switch Bước 2: Cấu hình trunnk cho các interface Fa0/1 và Fa0/2 trên các Switch Bước 3: Cấu hình VLAN trên các switch như sau: VLAN 10, 20, 30 và 40 Bước 4: Bước 5: Dùng lệnh show để kiểm tra sự hoạt động của HSRP trên các Switch3 và Switch4 Bước 6: Xóa cấu hình, khởi động lại thiết bị, hoàn trả lại thiết bị và hoàn... các interface Fa0/1 và Fa0/2 trên các Switch Bước 3: Cấu hình VLAN trên các switch như sau: VLAN 10, 20, 30 và 40 Bước 4: Bước 5: Dùng lệnh show để kiểm tra sự hoạt động của HSRP trên các Switch3 và Switch4 Bước 6: Xóa cấu hình, khởi động lại thiết bị, hoàn trả lại thiết bị và hoàn tất bài lab 187