1,、  公司內(nèi)部人員不會(huì)配置IP地址,，在SWA上配置DHCP服務(wù)，為PCC與PCB分配IP地址,，PCC的地址段為192.168.10.0/24網(wǎng)段,，PCB的地址段為192.168.11.0/24網(wǎng)段。

SWA：

SWA(config)#service dhcp //啟用dhcp服務(wù)

SWA(config)#ip dhcp pool PC // 定義一個(gè)地址池

SWA(dhcp-pc-config)#network-address 192.168.10.0 24 //地址段

SWA(dhcp-pc-config)#lease 0 8 0 //租用時(shí)間8小時(shí)

SWA(dhcp-pc-config)#default-router 192.168.10.254 //設(shè)置默認(rèn)網(wǎng)關(guān)

SWA(config)#int vlan 1

SWA(config-if-vlan1)#ip address 192.168.10.1 255.255.255.0 //需和地址池同一網(wǎng)段

SWA(config)#service dhcp //啟用dhcp服務(wù)

SWA(config)#ip dhcp pool PB // 定義一個(gè)地址池

SWA(dhcp-pc-config)#network-address 192.168.20.0 24 //地址段

SWA(dhcp-pc-config)#lease 0 3 0 //租用時(shí)間3小時(shí)

SWA(dhcp-pc-config)#default-router 192.168.20.254 //設(shè)置默認(rèn)網(wǎng)關(guān)

2,、  由于內(nèi)網(wǎng)用戶不會(huì)設(shè)置IP地址,，在內(nèi)網(wǎng)接入層交換機(jī)SWB上設(shè)置DHCP服務(wù),，方便內(nèi)網(wǎng)用戶的使用。其中PCC用戶會(huì)設(shè)置IP地址,，所以PCC使用靜態(tài)IP地址,。設(shè)置網(wǎng)段為：192.XX.20.0/24網(wǎng)段。

SWB：

SWB(config)#service dhcp //啟用dhcp服務(wù)

SWB(config)#ip dhcp pool PB // 定義一個(gè)地址池

SWB(dhcp-pc-config)#network-address 192.168.20.0 24 //地址段

SWB(dhcp-pc-config)#lease 0 3 0 //租用時(shí)間3小時(shí)

SWB(dhcp-pc-config)#default-router 192.168.20.254 //設(shè)置默認(rèn)網(wǎng)關(guān)

SWB(config)#int vlan 1

SWB(config-if-vlan1)#ip address 192.168.20.254 255.255.255.0

3,、 為保證內(nèi)網(wǎng)終端安全,，要求內(nèi)網(wǎng)所有用戶的MAC地址與接入交換機(jī)SWB接口進(jìn)行綁定，至少使用兩種方法進(jìn)行綁定,。

SWB：

SWB(config)#interface ethernet 0/0/5  //進(jìn)入接口模式

SWB(config-if-ethernet0/0/5)#switchport port-security  //啟用安全方式

SWB(config-if-ethernet0/0/5)#switchport port-security lock //鎖定端口

SWB(config-if-ethernet0/0/5)#switchport port-security mac-address 18-a9-05-dd-94-45 //綁定MAC地址

注：MAC地址綁定之后只有綁定的接口能與管理地址Ping通,，其他的接口不能。

SWB(config)#ip dhcp snooping enable  //啟動(dòng)dhcp偵聽功能

SWB(config)#ip dhcp snooping binding enable //啟動(dòng)DHCP Snooping綁定功能

SWB(config)#ip dhcp snooping binding user 18-A9-05-DD-94-95 address 192.168.1.110 255.255.255.0 vlan 1

SWB(config)#interface ethernet 0/0/5

SWB(Config-Ethernet0/0/11)#ip dhcp snooping trust

4,、  進(jìn)一步保證內(nèi)網(wǎng)安全,，在接入層交換機(jī)SWB的1-8接口配置端口隔離。

SWB：

SWB(config)#isolate-port group 1 //建立隔離組

SwitchB(config)#isolate-port group 1 switchport interface ethernet 0/0/1-8  //對(duì)1-8號(hào)端口進(jìn)行隔離

5,、  由于內(nèi)部人員總是下載數(shù)據(jù),，所以將內(nèi)部的PCB進(jìn)行流量限制,流量限制在5M/s。在內(nèi)網(wǎng)接入層設(shè)備SWB上配置,。

SWB：

    SWB(config)#interface ethernet 0/0/7   //進(jìn)入接口模式

    SWB(config-if-ethernet0/0/7)#bandwidth control 5000 both  //設(shè)置寬帶流量

6,、  在RS上開啟端口鏡像，將0/1與0/10的數(shù)據(jù)鏡像到0/5上,。同時(shí)在SWA上開啟端口鏡像,，將0/1的數(shù)據(jù)鏡像到0/2上。使用DCNIDS監(jiān)控內(nèi)網(wǎng)所有HTTP數(shù)據(jù)包,，并將所捕獲的數(shù)據(jù)生成報(bào)告,。將IDS服務(wù)器架設(shè)到某臺(tái)PC上，并提供搭建成功IDS正常運(yùn)行截圖與所生成的風(fēng)險(xiǎn)評(píng)估柱狀圖報(bào)表

RS：

RS(config)#monitor session 1 source interface ethernet 1/1;1/10 both

RS(config)#monitor session 1 destination interface ethernet 1/5

SWA:

SWA(config)#monitor session 1 source interface ethernet 0/0/1 both

SWA(config)#monitor session 1 destination interface ethernet 0/0/2

7,、  由于PCC用戶上班時(shí)間總是瀏覽與工作無關(guān)網(wǎng)頁(yè)，所在在RS上設(shè)置在早9點(diǎn)至晚6點(diǎn)期間不允許PCC登錄互聯(lián)網(wǎng),，其他時(shí)間可以,。

RS(config)#time-range 1 // 定義一個(gè)時(shí)間范圍并取名

RS(config-time-range-1)#periodic daily 09:00:00 to 18:00:00  //定義范圍

RS(config)#ip access-list extended nointernet   //配置拓展ACL

RS(config-ip-ext-nacl-nointernet)#deny ip host-source 192.168.10.1 any-destination  time-range 1   //配置在9點(diǎn)到18點(diǎn)范圍內(nèi)拒絕來自PCC到外網(wǎng)的所有數(shù)據(jù)

8、  要求在SWA上設(shè)置,，將PCB的MAC 地址,、IP地址與SWA綁定

SWA：（三元組綁定）

SWA(config)#ip dhcp snooping enable  //啟動(dòng)DHCP Snooping功能

    SWA(config)#ip dhcp snooping binding enable //啟動(dòng)DHCP Snooping綁定功能

    SWA(config)#ip dhcp snooping binding user 18-A9-05-DD-94-45 address 192.168.1.110 255.255.255.0 vlan 1 interface ethernet 0/0/5

9、  由于PCA的員工經(jīng)常在公司下載電影,，占用帶寬,，所以要限制PCA的流量帶寬

通過Qos，在SWA上設(shè)置PCA 的流量不能超過5M

SWA：

    SWB(config)#ip access-list extended ftp //建立一條防問控制列表

    SWB(config-ip-ext-nacl-ftp)#permit tcp 192.168.1.2 0.0.0.255 any-destination //允許一臺(tái)主機(jī)到任何目的

SWB(config)#mls qos  //啟用Qos

    SWB(config)#class-map 5m //配置匹配列表

    SWB(config-classmap-5m)#match access-group ftp

    SWB(config)#policy-map 5m //建立策略

    SWB(config-policymap-5m)#class 5m //策略匹配列表

    SWB(config-policymap-5m-class-5m)#polic 5000 3000 exceed-action drop

    SWB(config)#interface ethernet 0/0/2  //進(jìn)入接口模式

    SWB(config-if-ethernet0/0/2)#service-policy input 5m  //接口應(yīng)用策略

10,、        總公司網(wǎng)絡(luò)內(nèi)總有ARP病毒搗亂,，為了防止此情況,，在SWB開啟防ARP掃描，針對(duì)9-15接口,。

SWB：

    SWB(config)#anti-arpscan enable  //啟動(dòng)ARP掃描功能

    SWB(config)#interface ethernet 0/0/9-15  //進(jìn)入端口配置模式

    SWB(config-if-port-range)#anti-arpscan trust port //設(shè)置為ARP信任端口

11,、        為了內(nèi)網(wǎng)安全，在SWB上將PCC,，PCB的IP,，MAC綁定

SWB：

SWB(config)#interface ethernet 0/0/9

SWB(config-if-ethernet0/0/9)#switchport port-security //啟動(dòng)安全相關(guān)命令

SWB(config-if-ethernet0/0/9)#switchport port-security lock //啟動(dòng)安全鎖定

SWB(config-if-ethernet0/0/9)#switchport port-security mac-address 18-A9-05-DD-94-45  //綁定MAC地址

SWB(config)#interface ethernet 0/0/10

SWB(config-if-ethernet0/0/10)#switchport port-security //啟動(dòng)安全相關(guān)命令

SWB(config-if-ethernet0/0/10)#switchport port-security lock //啟動(dòng)安全鎖定

SWB(config-if-ethernet0/0/10)#switchport port-security mac-address 18-A9-05-DD-94-45  //綁定MAC地址

12、        分公司A屬于SWA,，在SWA上所有up的端口開啟環(huán)路檢測(cè)

SWA：

    SWA(config)#interface ethernet 0/0/1-8   //進(jìn)入端口配置模式

    SWA(config-if-port-range)#loopback-detection specified-vlan 1 //開啟環(huán)路檢測(cè)

13,、        為了保證分公司A的內(nèi)部安全，在SWA上將PCA與PCB所在的端口進(jìn)行端口隔離,。

SWA：

SWA(config)#isolate-port group 1 //建立隔離組

SWA(config)#isolate-port group 1 switchport interface ethernet 0/0/2 ,；0/0/4

14、        PCD用戶不會(huì)設(shè)置IP地址,，所以在FWB上開啟DHCP,，RS開啟DHCP中繼，為PCD分配IP地址,。將FWB的DHCP配置過程進(jìn)行截圖,。

RS：

RS(config)#ip forward-protocol udp bootps

RS(config)#int vlan 10  //進(jìn)入vlan模式

RS(config-if-vlan10)#ip helper-address 192.168.1.1  //中繼代理服務(wù)器地址

15、        SWB與RS之間有端口匯聚,；配置以后可以相互學(xué)習(xí)vlan信息,。

SWB：

SWB(config)#port-group 2

SWB(config)#int ethernet 0/0/23-24

SWB(config-if-port-range)#port-group 2 mode passive

RS：

RS(config)#port-group 2

RS(config)#int ethernet 0/0/23-24

RS(config-if-port-range)#port-group 2 mode active

RS(config)#interface port-channel 1

RS(config-if-port-channel1)#switchport mode trunk

16、        SWA上開啟DHCP服務(wù),，為vlan100的主機(jī)分配地址與默認(rèn)網(wǎng)關(guān),，為PC1固定分配192.xxx.100.10,地址租期永久有效。

SWA：

SWA(config)#interface vlan 100

SWA(config-if-vlan1)#ip address 192.168.100.1 255.255.255.0

SWA(config)#ip dhcp excluded-address 192.168.100.254

SWA(config)#ip dhcp excluded-address 192.168.100.1

SWA(config)#service dhcp

SWA(config)#ip dhcp pool A

SWA(dhcp-a-config)#network-address 192.168.100.0 24

SWA(dhcp-a-config)#lease 3

SWA(dhcp-a-config)#default-router 192.168.100.254

SWA(config)#ip dhcp pool B

SWA(dhcp-b-config)#host 192.168.100.10 24

SWA(dhcp-b-config)#hardware-address 00-03-0D-E0-01-0D

SWA(dhcp-b-config)#lease infinite

SWA(dhcp-b-config)#default-router 192.168.100.254

17,、        配置SWA的端口 F0/0/5上,，將屬于網(wǎng)段 10.xxx.80.0 內(nèi)的報(bào)文帶寬限制為 10M 比特/秒，突發(fā)值設(shè)為 4M 字節(jié),，超過帶寬的該網(wǎng)段內(nèi)的報(bào)文一律丟棄,。

SWA：

SWA(config)#ip access-list extended ftp //建立訪問控制列表

 SWA(config-ip-ext-nacl-ftp)#permit tcp 192.168.80.0 0.0.0.255 any-destination //建立規(guī)則

SWA(config)#mls qos //啟動(dòng)Qos 功能

SWA(config)#class-map 1 //建立匹配列表

SWA(config-classmap-1)#match access-group ftp //匹配訪問列表

SWA(config)#policy-map 1 //建立策略

SWA(config-policymap-1)#class 1 //策略匹配列表

SWA(config-policymap-1-class-1)#policy 10000 4000 exceed-action drop

SWA(config)#interface ethernet 0/0/5 //進(jìn)入接口模式

SWA(config-if-ethernet0/0/5)#service-policy input 1 //應(yīng)用于接口