锐捷RCNP路由与交换高级技术实战-2.1-课件 项目7 企业局域网安全接入部署

项目7企业局域网安全接入部署项目描述项目相关知识项目规划设计项目实践项目验证项目拓展目录项目描述项目描述近期，公司网络出现了异常，部分员工无法正常上网。经过调查发现，部分员工为了将个人终端（如手机）接入网络，擅自将无线路由器接入公司网络，且未关闭无线路由器的DHCP功能，致使部分员工的终端获取到错误的IP地址。为解决这一问题，必须对网络进行必要的改造。经过讨论，公司决定优先对财务部和销售部进行改造，确保这两个部门的计算机能够正确获取IP地址。同时，为了提升网络安全，还需要有效防范非法DHCP服务器的接入，禁止使用手动配置IP地址的终端接入网络。此外，公司最近购买了一台流量服务器，旨在通过旁路部署的方式全面监控网络流量。目前，需要在核心交换机上将流量复制到流量服务器所在端口。项目描述其项目拓扑如图7-1所示。图7-1项目拓扑项目相关知识7.1DHCPSnoopingDHCPSnooping（DHCP窥探），主要用于保证DHCP客户端从合法的DHCP服务器获取到IP地址。DHCPSnooping通过对客户端和服务器之间的DHCP交互报文进行窥探实现对用户IP地址使用情况的记录和监控，同时还可以过滤非法DHCP报文。因此，该功能可以有效防止DHCP地址池中的损耗和网络上针对DHCP的欺骗攻击，并能通过生成的用户数据表项为IPSourceGuard等安全应用提供服务。7.1DHCPSnoopingDHCPSnooping可以提供以下两方面的功能：（1）DHCP报文过滤：在交换机上配置DHCPSnooping后，交换机能检测接口进来的DHCPSERVER发送的报文。管理员可以将连接授权DHCPSERVER的接口配置为信任端口，其他端口配置为非信任端口。这样，交换机只会接收并转发来自信任端口的DHCPSERVER分配的IP地址，而非信任端口在接收到DHCP服务器响应的DHCPAck、DHCPNak、DHCPOffer报文后，会丢弃这些报文。7.1DHCPSnoopingDHCPSnooping可以提供以下两方面的功能：（2）DHCP地址表：DHCPSnooping还能截获DHCP报文并进行分析处理，建立和维护一个DHCPSnooping绑定表，包括MAC、IP、租期、VLAN、接口等信息。这些表项作为合法用户的信息表，提供给设备的其他安全模块使用，实现进一步的接入安全功能。7.2IPSourceGuardIP源防护（IPSourceGuard，IPSG）是一种网络安全特性，主要用于防范针对源IP地址进行欺骗的攻击行为。随着网络规模的不断扩大，基于源IP的攻击也日益增多。攻击者可能通过欺骗手段获取网络资源，获取合法使用网络资源的权限，甚至导致被欺骗者无法访问网络或发生信息泄露。IPSG针对这类源IP攻击提供了一种有效的防御机制。IPSG的工作原理基于绑定表（DHCP动态和静态绑定表）对IP报文进行匹配检查。当设备在转发IP报文时，会检查报文中的源IP、源MAC、端口、VLAN等信息，并将这些信息与绑定表中的信息进行比对。如果信息匹配，则认为该报文来自合法用户，允许其正常转发；否则，报文将被视为攻击报文并被丢弃。7.2IPSourceGuardIPSG的绑定表可以通过两种方式进行配置：静态绑定和动态绑定。静态绑定是通过使用user-bind命令手工配置，而动态绑定则通过配置DHCPSnooping来实现，这种方式更为推荐。通过IPSG的实施，可以有效地防止恶意主机伪造合法主机的IP地址，确保非授权主机不能通过自己制定的IP来访问和攻击网络。7.3端口安全端口安全是一种在端口上实施的安全技术，通过绑定合法的IP、MAC或者IP+MAC地址，对端口接收的报文进行控制。在接入交换机上建立端口和MAC、IP或MAC+IP的对应关系表，当该端口收到符合对应关系的报文时，进行正常转发；当收到的不符合该对应关系的报文时，则进行下一步判断。7.3端口安全端口安全功能适用于需要严格控制端口接入用户身份的场景，确保指定合法用户能够访问网络。此外，它还能有效应对MAC地址耗尽的风险，即防止恶意软件或病毒通过发送伪造MAC地址的流量来耗尽交换机地址表，从而保障网络的正常通信，如图7-2所示。图7-2端口安全示意图7.3端口安全端口安全的MAC绑定分为静态绑定和动态绑定两种方式：（1）静态绑定方式：手工命令进行绑定，可以绑定二层和三层安全地址（MAC、IP、MAC+IP）。（2）动态绑定方式：交换机自动学习地址并转化为安全地址，只能够学习到二层安全地址。在通常情况下，这两种安全MAC绑定方式可以配置的最大安全地址限制个数默认为128个。该技术可以通过限制安全地址个数的方式，防止设备遭受MAC扫描攻击时，MAC表项被迅速占满。7.4ARPCheck地址解析协议（AddressResolutionProtocol

，ARP）是一种将IP地址解析为MAC地址的协议，是以太网中一个重要的协议。但是，ARP协议并不安全，在协议上有两个漏洞，其一是在设备或PC上学习IP和MAC的对应关系时，不对ARP报文进行验证；其二是始终以最新收到的ARP报文来更新ARP缓存表。由于这两个漏洞的存在，ARP欺骗成了局域网内的一大威胁。7.4ARPCheckARPCheck是防护ARP欺骗的一种网络安全机制，主要用于验证ARP报文的合法性和有效性。它能通过比较ARP缓存中的IP地址和MAC地址，来验证ARP缓存中记录的信息是否匹配。目前，ARPCheck支持的安全检查功能包括两种，分别是仅检测ARP报文的SenderIP和检测SenderIP+SenderMAC。ARPCheck功能会基于合法用户信息表的条目，检验ARP报文的SenderIP或SenderIP+SenderMAC字段，不符合合法用户信息表的报文将被丢弃，达到防止ARP欺骗的目的。7.5端口镜像技术端口镜像，又称端口监听或SPAN（SwitchPortAnalyzer），可以实时地将被监听的一个或多个端口的流量，复制到镜像端口（监听端口），而又不会影响被监听端口的正常工作。在端口镜像中，有两个主要端口，分别是镜像源端口和镜像目的端口。如图7-3所示。图7-3端口镜像示意图7.5端口镜像技术源端口也被称为被监控口，在SPAN会话中，源端口上的数据流被监控，用于网络分析或故障排除。在单个SPAN会话中，用户可以监控输入、输出和双向数据流，且源端口的最大个数没有限制（但受限于设备性能和目的端口带宽）。源端口具有以下特性：（1）源端口可以是二层口、三层口（nosw）或者AP端口。（2）源端口不能同时作为目的端口。（3）源端口和目的端口可以属于同一VLAN，也可以属于不同VLAN。7.5端口镜像技术目的端口用于接收源端口1：1拷贝的数据包，具有以下特性：（1）目的端口可以是二层口、三层口（nosw）或者AP口。（2）目的端口不能同时作为源端口，且同一个SPAN会话只能有一个目的端口。（3）默认情况下，目的端口不能作为业务端口，除非配置了Switch参数。7.6AAAAAA代表Authentication、Authorization、Accounting，意为认证、授权、记账，其主要作用是提供了一个用来对认证授权和记账这三种安全功能进行配置的框架，AAA的配置实际上是对网络访问控制的一种管理。7.6AAAAAA的具体组成部分及作用如下：Authentication（认证）：对用户的身份进行验证，决定是否允许该用户访问网络。Authorization（授权）：给不同的用户分配不同的权限，限制每个用户可使用的网络服务。Accounting（记账）：记录用户使用网络资源的情况，包括使用的服务类型、起始时间、数据流量等，从而实现对用户的使用网络资源地行为进行记账、统计、跟踪。项目规划设计项目规划设计在本项目中，使用3台交换机、4台PC和1台服务器来构建企业局域网，其中SW1为核心交换机，SW2和SW3为接入交换机。现计划在SW1上建立部门DHCP地址池，为各部门自动分配IP地址，在SW2、SW3使用DHCPSnooping功能防止部门终端获取到非法IP地址。同时SW2、SW3上还需启用端口安全功能、报文检测和ARPCheck防欺骗，为部门终端提供安全的网络环境。监控服务器连接至核心交换机SW1上，指定下联接口为镜像源端口，将流量实时复制到监控服务器所在的链路上。项目规划设计其网络拓扑如图7-4所示。图7-4网络拓扑图项目规划设计具体配置步骤如下。（1）配置DHCPSnooping，实现DHCP流量的过滤。（2）配置局域网主机安全接入，实现部门主机接入网络的安全用网。（3）配置端口镜像，实现对企业局域网流量的监控。项目规划设计根据图7-4所示拓扑图进行项目的业务规划，项目7的VLAN规划、设备管理规划、端口互联规划、IP规划见表7-1~表7-3。表7-1项目7VLAN规划表VLAN-IDVLAN命名网段用途10User-Caiwu192.168.10.0/24财务部用户网段20User-Xiaoshou192.168.20.0/24销售部用户网段100User-Xinxi10.10.10.0/24监控服务器网段项目规划设计根据图7-4所示拓扑图进行项目的业务规划，项目7的VLAN规划、设备管理规划、端口互联规划、IP规划见表7-1~表7-3。表7-2项目7端口互联规划表本端设备本端端口端口配置对端设备对端端口SW1G0/1TrunkSW2G0/24SW1G0/2TrunkSW3G0/24SW1G0/3Access监控服务器Eth0/1SW2G0/1AccessPC1Eth0/1SW2G0/2AccessPC2Eth0/1SW2G0/24TrunkSW1G0/1项目规划设计根据图7-4所示拓扑图进行项目的业务规划，项目7的VLAN规划、设备管理规划、端口互联规划、IP规划见表7-1~表7-3。表7-2项目7端口互联规划表本端设备本端端口端口配置对端设备对端端口SW3G0/1AccessPC3Eth0/1SW3G0/2AccessPC4Eth0/1SW3G0/24TrunkSW2G0/2项目规划设计根据图7-4所示拓扑图进行项目的业务规划，项目7的VLAN规划、设备管理规划、端口互联规划、IP规划见表7-1~表7-3。表7-3项目7IP规划表设备接口IP地址SW1VLAN10192.168.10.254/24VLAN20192.168.20.254/24VLAN10010.10.10.254/24PC1-DHCP自动分配项目规划设计根据图7-4所示拓扑图进行项目的业务规划，项目7的VLAN规划、设备管理规划、端口互联规划、IP规划见表7-1~表7-3。表7-3项目7IP规划表设备接口IP地址PC2-DHCP自动分配PC3-DHCP自动分配PC4-DHCP自动分配监控服务器-10.10.10.1/24项目实践任务7-1配置DHCPSnooping任务7-1配置DHCPSnooping任务描述本任务中，要实现为财务部和销售部的终端自动分配IPv4地址，同时防止两个部门的终端获取到非法DHCP服务器的IP地址，保证网络通信正常，任务的配置包括以下内容。1.VLAN配置：根据拓扑图创建VLAN。2.IP地址配置：根据项目规划设计表为交换机配置IP地址。3.端口配置：根据项目规划设计表配置互联端口，并配置端口默认VLAN。4.DHCP服务配置：在SW1上配置DHCP服务。5.DHCPSnooping功能配置：在接入交换机上开启DHCPSnooping功能，对所有DHCP流量进行过滤，同时配置上行接口为DHCPSnoopingTrust端口，仅信任该接口发出的DHCP报文。任务7-1配置DHCPSnooping任务操作1.VLAN配置（1）在SW1上创建VLAN。Ruijie>enable//进入特权模式Ruijie#configterminal//进入全局模式Ruijie(config)#hostnameSW1//将交换机名称更改为SW1SW1(config)#vlan10//创建VLAN10SW1(config-vlan)#nameUser-Caiwu//VLAN命名为User-CaiwuSW1(config-vlan)#exit//退出任务7-1配置DHCPSnooping任务操作1.VLAN配置（1）在SW1上创建VLAN。SW1(config)#vlan20//创建VLAN20SW1(config-vlan)#nameUser-Xiaoshou//VLAN命名为User-XiaoshouSW1(config-vlan)#exit//退出SW1(config)#vlan100//创建VLAN100SW1(config-vlan)#nameUser-Xinxi//VLAN命名为User-XinxiSW1(config-vlan)#exit//退出任务7-1配置DHCPSnooping任务操作1.VLAN配置（2）在SW2上创建VLAN。Ruijie>enable//进入特权模式Ruijie#configterminal//进入全局模式Ruijie(config)#hostnameSW2//将交换机名称更改为SW2SW2(config)#vlan10//创建VLAN10SW2(config-vlan)#nameUser-Caiwu//VLAN命名为User-CaiwuSW2(config-vlan)#exit//退出任务7-1配置DHCPSnooping任务操作1.VLAN配置（3）在SW3上创建VLAN。Ruijie>enable//进入特权模式Ruijie#configterminal//进入全局模式Ruijie(config)#hostnameSW3//将交换机名称更改为SW3SW3(config)#vlan20//创建VLAN20SW3(config-vlan)#nameUser-Xiaoshou//VLAN命名为User-XiaoshouSW3(config-vlan)#exit//退出任务7-1配置DHCPSnooping任务操作2.IP地址配置（1）在SW1上配置IP地址。SW1(config)#interfacevlan10//进入VLAN10接口SW1(config-if-VLAN10)#ipaddress192.168.10.254255.255.255.0//配置IP地址SW1(config-if-VLAN10)#exit//退出SW1(config)#interfacevlan20//进入VLAN20接口SW1(config-if-VLAN20)#ipaddress192.168.10.254255.255.255.0//配置IP地址任务7-1配置DHCPSnooping任务操作2.IP地址配置（1）在SW1上配置IP地址。SW1(config)#interfacevlan100//进入VLAN100接口SW1(config-if-VLAN100)#ipaddress10.10.10.254255.255.255.0//配置IP地址SW1(config-if-VLAN100)#exit//退出任务7-1配置DHCPSnooping任务操作3.端口配置（1）在SW1上配置与SW2、SW3互联的端口，并配置端口默认VLAN。SW1(config)#interfacegigabitEtherne0/1//进入G0/1端口SW1(config-if-GigabitEthernet0/1)#switchportmodetrunk//修改端口类型为Trunk模式SW1(config-if-GigabitEthernet0/1)#switchporttrunkallowedvlanonly10//配置端口的默认VLAN为VLAN10SW1(config-if-GigabitEthernet0/1)#exit//退出任务7-1配置DHCPSnooping任务操作3.端口配置（1）在SW1上配置与SW2、SW3互联的端口，并配置端口默认VLAN。SW1(config)#interfacegigabitEtherne0/2//进入G0/2端口SW1(config-if-GigabitEthernet0/2)#switchportmodetrunk//修改端口类型为Trunk模式SW1(config-if-GigabitEthernet0/2)#switchporttrunkallowedvlanonly20//配置端口的默认VLAN为VLAN20SW1(config-if-GigabitEthernet0/2)#exit//退出任务7-1配置DHCPSnooping任务操作3.端口配置（1）在SW1上配置与SW2、SW3互联的端口，并配置端口默认VLAN。SW1(config)#interfacegigabitEtherne0/3//进入G0/3端口SW1(config-if-GigabitEthernet0/3)#switchportmodeaccess//修改端口类型为Access模式SW1(config-if-GigabitEthernet0/3)#switchportaccessvlan100//配置端口的默认VLAN为VLAN100SW1(config-if-GigabitEthernet0/3)#exit//退出任务7-1配置DHCPSnooping任务操作3.端口配置（2）在SW2上配置与SW1和PC互联的端口，并配置端口默认VLAN。SW2(config)#interfacerangegigabitEtherne0/1-23//批量进入端口SW2(config-if-range)#switchportmodeaccess//修改端口类型为Access模式SW2(config-if-range)#switchportaccessvlan10//配置端口的默认VLAN为VLAN10SW2(config-if-range)#exit//退出SW2(config)#interfacegigabitEtherne0/24//进入G0/24端口SW2(config-if-GigabitEthernet0/24)#switchportmodetrunk//修改端口类型为Trunk模式任务7-1配置DHCPSnooping任务操作3.端口配置（3）在SW3上配置与SW1和PC互联的端口，并配置端口默认VLAN。SW3(config)#interfacerangegigabitEtherne0/1-23//批量进入端口SW3(config-if-range)#switchportmodeaccess//修改端口类型为Access模式SW3(config-if-range)#switchportaccessvlan20//配置端口的默认VLAN为VLAN20SW3(config-if-range)#exit//退出SW3(config)#interfacegigabitEtherne0/24//进入G0/24端口SW3(config-if-GigabitEthernet0/24)#switchportmodetrunk//修改端口类型为Trunk模式任务7-1配置DHCPSnooping任务操作4.DHCP服务配置在SW1上配置DHCP服务，为财务部和销售部分配IP地址。SW1(config)#servicedhcp//开启DHCP服务SW1(config)#ipdhcppoolVLAN10//设置DHCP地址池的名称为VLAN10SW1(dhcp-config)#network192.168.10.0255.255.255.0//配置DHCP地址池分配的地址为192.168.10.0/24网段SW1(dhcp-config)#default-router192.168.10.254//配置DHCP地址池分配的网关地址为192.168.10.254SW1(dhcp-config)#lease700//配置DHCP地址池分配的有效期为7天任务7-1配置DHCPSnooping任务操作4.DHCP服务配置在SW1上配置DHCP服务，为财务部和销售部分配IP地址。SW1(config)#ipdhcppoolVLAN20//设置DHCP地址池的名称为VLAN20SW1(dhcp-config)#network192.168.20.0255.255.255.0//配置DHCP地址池分配的地址为192.168.20.0/24网段SW1(dhcp-config)#default-router192.168.20.254//配置DHCP地址池分配的网关地址为192.168.20.254SW1(dhcp-config)#lease700//配置DHCP地址池分配的有效期为7天SW1(dhcp-config)#exit//退出任务7-1配置DHCPSnooping任务操作5.DHCPSnooping功能配置（1）在SW2上配置DHCPSnooping功能。SW2(config)#ipdhcpsnooping//开启DHCPSnooping功能SW2(config)#interfacegigabitEthernet0/24//进入G0/24端口SW2(config-FastEthernet0/24)#ipdhcpsnoopingtrust//设置端口为DHCPSnoopingtrust口SW2(config-FastEthernet0/24)#exit//退出SW2(config)#ipdhcpsnoopingcheck-giaddr//全局开启DHCPSnooping处理Relay请求报文功能任务7-1配置DHCPSnooping任务操作5.DHCPSnooping功能配置（2）在SW3上配置DHCPSnooping功能。SW3(config)#ipdhcpsnooping//开启DHCPSnooping功能SW3(config)#interfacegigabitEthernet0/24//进入G0/24端口SW3(config-FastEthernet0/24)#ipdhcpsnoopingtrust//设置端口为DHCPSnoopingtrust口SW3(config-FastEthernet0/24)#exit//退出SW3(config)#ipdhcpsnoopingcheck-giaddr//全局开启DHCPSnooping处理Relay请求报文功能任务7-1配置DHCPSnooping任务验证（1）在SW1使用【showipdhcpbinding】命令查看服务器地址池分配情况，如下所示。SW1(config)#showipdhcpbindingTotalnumberofclients:4Expiredclients:0Runningclients:4任务7-1配置DHCPSnooping任务验证（1）在SW1使用【showipdhcpbinding】命令查看服务器地址池分配情况，如下所示。可以看到四台PC都获取到了地址。SW1(config)#showipdhcpbindingIPaddressHardwareaddressLeaseexpirationType192.168.20.1000c.29d2.c612006days23hours49minsAutomatic192.168.20.2000c.29d2.c475006days23hours59minsAutomatic192.168.10.2000c.292d.74f4006days23hours47minsAutomatic192.168.10.1000c.292d.ac11006days23hours28minsAutomatic任务7-1配置DHCPSnooping任务验证（2）在SW2上使用【showipdhcpsnoopingbinding】命令查看DHCP绑定表项的绑定情况，如下所示。可以看到SW2上生成了PC1和PC2的Binding记录。SW2(config)#showipdhcpsnoopingbindingTotalnumberofbindings:2NO.MACADDRESSIPADDRESSLEASE(SEC)TYPEVLANINTERFACE---------------------------------------------------------------------1000c.292d.ac11192.168.10.1604631DHCP-Snooping10GigabitEthernet0/12000c.292d.74f4192.168.10.2604032DHCP-Snooping10GigabitEthernet0/2任务7-2配置局域网主机安全接入任务7-2配置局域网主机安全接入任务描述本任务，要实现财务部和销售部主机接入局域网后的安全用网，任务的配置包括以下内容。1.端口安全配置：在SW2端口下允许的最大安全地址为1个，SW3端口下允许的最大安全地址为4个;对财务部PC做IP+MAC地址绑定，销售部PC仅做MAC地址绑定。2.IPSourceGuard配置：在SW2、SW3上开启报文检测，模式为IP+MAC。3.ARPCheck服务配置：在SW2、SW3上开启ARPCheck功能。任务7-2配置局域网主机安全接入任务操作1.端口安全配置（1）在SW2上配置端口安全技术，静态绑定IP+MAC。SW2(config)#interfacegigabitEthernet0/1//进入G0/1端口SW2(config-if-GigabitEthernet0/1)#switchportport-security//开启端口安全SW2(config-if-GigabitEthernet0/1)#switchportport-securitybinding000c.292d.ac11vlan10192.168.10.1//在端口上绑定IP+MAC和VLANSW2(config-if-GigabitEthernet0/1)#swiport-securitymaximum1//配置安全地址限制数量为1SW2(config-if-GigabitEthernet0/1)#switchportport-securityviolationrestrict//配置违例动作RestrictSW2(config-if-GigabitEthernet0/1)#exit//退出任务7-2配置局域网主机安全接入任务操作1.端口安全配置（1）在SW2上配置端口安全技术，静态绑定IP+MAC。SW2(config)#interfacerangegigabitEthernet0/2//进入G0/2端口SW2(config-if-GigabitEthernet0/2)#switchportport-security//开启端口安全SW2(config-if-GigabitEthernet0/2)#switchportport-securitybinding000c.292d.74f4vlan10192.168.10.2//在端口上绑定IP+MAC和VLANSW2(config-if-GigabitEthernet0/2)#swiport-securitymaximum1//配置安全地址限制数量为1SW2(config-if-GigabitEthernet0/2)#switchportport-securityviolationrestrict//配置违例动作RestrictSW2(config-if-GigabitEthernet0/2)#exit//退出任务7-2配置局域网主机安全接入任务操作1.端口安全配置（2）在SW3上配置端口安全技术，静态绑定MAC地址。SW3(config)#interfacegigabitEthernet0/1//进入G0/1端口SW2(config-if-GigabitEthernet0/1)#switchportport-security//开启端口安全SW3(config-if-GigabitEthernet0/1)#switchportport-securitymac-address000c.29d2.c612vlan20//在端口上绑定MACSW3(config-if-GigabitEthernet0/1)#swiport-securitymaximum4//配置安全地址限制数量为4SW2(config-if-GigabitEthernet0/1)#switchportport-securityviolationrestrict//配置违例动作RestrictSW2(config-if-GigabitEthernet0/2)#exit//退出任务7-2配置局域网主机安全接入任务操作1.端口安全配置（2）在SW3上配置端口安全技术，静态绑定MAC地址。SW3(config)#interfacegigabitEthernet0/2//进入G0/2端口SW2(config-if-GigabitEthernet0/2)#switchportport-security//开启端口安全SW3(config-if-GigabitEthernet0/2)#switchportport-securitymac-address000c.29d2.c475vlan20//在端口上绑定MACSW3(config-if-GigabitEthernet0/2)#swiport-securitymaximum4//配置安全地址限制数量为4SW2(config-if-GigabitEthernet0/2)#switchportport-securityviolationrestrict//配置违例动作RestrictSW2(config-if-GigabitEthernet0/2)#exit//退出任务7-2配置局域网主机安全接入任务操作2.IPSourceGuard配置（1）在SW2上配置IPSourceGuard源数据IP+MAC静态绑定。SW2(config)#interfacerangegigabitEthernet0/1-2//批量进入端口SW2(config-if-range)#ipverifysourceport-security//开启源IP+MAC报文检测SW2(config-if-range)#exit//退出任务7-2配置局域网主机安全接入任务操作2.IPSourceGuard配置（2）在SW3上配置IPSourceGuard源数据IP+MAC静态绑定。SW3(config)#interfacerangegigabitEthernet0/1-2//批量进入端口SW3(config-if-range)#ipverifysourceport-security//开启源IP+MAC报文检测SW3(config-if-range)#exit//退出任务7-2配置局域网主机安全接入任务操作3.ARPCheck服务配置（1）在SW2上配置ARPCheck功能。SW2(config)#interfacerangegigabitEthernet0/1-2//批量进入端口SW2(config-if-range)#arp-check//开启ARPCheck功能SW2(config-if-range)#anti-arp-spoofingip192.168.10.254//配置防网关ARP欺骗SW2(config-if-range)#exit//退出任务7-2配置局域网主机安全接入任务操作3.ARPCheck服务配置（2）在SW3上配置ARPCheck功能。SW3(config)#interfacerangegigabitEthernet0/1-2//批量进入端口SW3(config-if-range)#arp-check//开启ARPCheck功能SW3(config-if-range)#anti-arp-spoofingip192.168.20.254//配置防网关ARP欺骗SW3(config-if-range)#exit//退出任务7-2配置局域网主机安全接入任务验证（1）在SW2使用【showport-securityaddress】命令查看交换机的安全表项，如下所示。可以看到绑定表上出现了PC1和PC2的MAC地址和对应端口。SW2#showport-securityaddressNO.VLANMacAddressPORTTYPERemainingAge(mins)STATUS--------------------------------------------------------------------------------------110000c.292d.ac11GigabitEthernet0/1Dynamic--active210000c.292d.74f4GigabitEthernet0/2Dynamic--active任务7-2配置局域网主机安全接入任务验证（2）在SW3使用【showport-securityaddress】命令查看交换机的安全表项，如下所示。可以看到绑定表上出现了PC3和PC4的MAC地址和对应端口。SW3#showport-securityaddressNO.VLANMacAddressPORTTYPERemainingAge(mins)STATUS--------------------------------------------------------------------------------------120000c.29d2.c612GigabitEthernet0/1Configured--active220000c.29d2.c475GigabitEthernet0/2Configured--active任务7-2配置局域网主机安全接入任务验证（3）在SW2使用【showipdhcpsnoopingbinding】命令查看DHCPSnooping绑定表，如下所示。可以看到DHCPSnooping绑定表下PC1、PC2的相关信息。SW2#showipdhcpsnoopingbindingTotalnumberofbindings:2NO.MACADDRESSIPADDRESSLEASE(SEC)TYPEVLANINTERFACE----------------------------------------------------------------------------------------1000c.292d.ac11192.168.10.1602840DHCP-Snooping10GigabitEthernet0/12000c.292d.74f4192.168.10.2604368DHCP-Snooping10GigabitEthernet0/2任务7-2配置局域网主机安全接入任务验证（4）在SW3使用【showipdhcpsnoopingbinding】命令查看DHCPSnooping绑定表，如下所示。可以看到DHCPSnooping绑定表下PC3、PC4的相关信息SW3#showipdhcpsnoopingbindingTotalnumberofbindings:2NO.MACADDRESSIPADDRESSLEASE(SEC)TYPEVLANINTERFACE----------------------------------------------------------------------------------------1000c.29d2.c612192.168.20.1601685DHCP-Snooping20GigabitEthernet0/12000c.29d2.c475192.168.20.2602459DHCP-Snooping20GigabitEthernet0/2任务7-2配置局域网主机安全接入任务验证（5）在SW2使用【showipverifysource】命令查看IP源防护库信息，如下所示。SW2(config)#showipverifysourceNO.INTERFACEFilterTypeFilterStatusIPADDRESSMACADDRESSVLANTYPE-----------------------------------------------------------------------------------------------------------1GigabitEthernet0/1IP+MACActive192.168.10.1000c.292d.ac1110DHCP-Snooping2GigabitEthernet0/2IP+MACActive192.168.10.2000c.292d.74f410DHCP-Snooping任务7-2配置局域网主机安全接入任务验证（5）在SW2使用【showipverifysource】命令查看IP源防护库信息，如下所示。可以看到IP源防护库会丢弃没有绑定IP+MAC的ARP报文。SW2(config)#showipverifysourceNO.INTERFACEFilterTypeFilterStatusIPADDRESSMACADDRESSVLANTYPE-----------------------------------------------------------------------------------------------------------3GigabitEthernet0/1IP+MACActiveDeny-All4GigabitEthernet0/2IP+MACActiveDeny-AllTotalnumberofbindings:4任务7-2配置局域网主机安全接入任务验证（6）在SW3使用【showipverifysource】命令查看IP源防护库信息，如下所示。SW3#showipverifysourceNO.INTERFACEFilterTypeFilterStatusIPADDRESSMACADDRESSVLANTYPE-----------------------------------------------------------------------------------------------------------1GigabitEthernet0/2IP+MACActive192.168.20.2000c.29d2.c47520DHCP-Snooping2GigabitEthernet0/1IP+MACActive192.168.20.1000c.29d2.c61220DHCP-Snooping任务7-2配置局域网主机安全接入任务验证（6）在SW3使用【showipverifysource】命令查看IP源防护库信息，如下所示。可以看到IP源防护库会丢弃没有绑定IP+MAC的ARP报文。SW3#showipverifysourceNO.INTERFACEFilterTypeFilterStatusIPADDRESSMACADDRESSVLANTYPE-----------------------------------------------------------------------------------------------------------3GigabitEthernet0/1IP+MACActiveDeny-All4GigabitEthernet0/2IP+MACActiveDeny-AllTotalnumberofbindings:4任务7-2配置局域网主机安全接入任务验证（7）在SW2使用“showinterfacesarp-checklist”命令查看ARPCheck检测表项，如下所示。可以看到ARPCheck允许PC1、PC2的报文通过。SW2#showinterfacesarp-checklistINTERFACESENDERMACSENDERIPPOLICYSOURCE------------------------------------------------------------------------------------GigabitEthernet0/1000c.292d.ac11192.168.10.1DHCPsnooping/port-securityGigabitEthernet0/2000c.292d.74f4192.168.10.2DHCPsnooping/port-security任务7-2配置局域网主机安全接入任务验证（8）在SW3使用“showinterfacesarp-checklist”命令查看ARPCheck检测表项，如下所示。可以看到ARPCheck允许PC1、PC2的报文通过。SW3#showinterfacesarp-checklistINTERFACESENDERMACSENDERIPPOLICYSOURCE------------------------------------------------------------------------------------GigabitEthernet0/1000c.29d2.c612192.168.20.1DHCPsnoopingGigabitEthernet0/2000c.29d2.c475192.168.20.2DHCPsnooping任务7-3配置端口镜像任务7-3配置端口镜像任务描述本任务中，要实现网络监控系统能监控到财务部和销售部的流量，任务的配置包括以下内容。1.端口镜像配置：在SW1上配置端口镜像，实现多对一镜像。任务7-3配置端口镜像任务描述本任务中，要实现网络监控系统能监控到财务部和销售部的流量，任务的配置包括以下内容。1.端口镜像配置：在SW1上配置端口镜像，实现多对一镜像。任务7-3配置端口镜像任务操作1.端口镜像配置

在SW1上配置端口镜像技术SW1(config)#monitorsession1sourceinterfacegi0/1both//指定端口镜像源端口为G0/1SW1(config)#monitorsession1sourceinterfacegi0/2both//指定端口镜像源端口为G0/2SW1(config)#monitorsession1destinationintgigabitEthernet0/3switch//指定端口镜像目的端口为G0/3任务7-3配置端口镜像任务验证在SW1使用【showmonitor】命令查看端口镜像状态，如下所示。可以看到SW1上的端口G0/1、G0/2配置为镜像源端口，G0/3为镜像目的端口。SW1(config)#showmonitorsess-num:1span-type:LOCAL_SPANsrc-intf:GigabitEthernet0/1frame-typeBothsrc-intf:GigabitEthernet0/2frame-typeBothdest-intf:GigabitEthernet0/3mtp_switchon项目验证项目验证(1)查看PC1所获取IP地址的情况，使用ipconfig/all命令查看获取到地址池分配的IP地址和其他网络信息，配置如下所示。PC1>ipconfig/allWindowsIP配置

主机名.............:PC1

主DNS后缀...........:

节点类型............:混合IP路由已启用..........:否WINS代理已启用.........:否项目验证(1)查看PC1所获取IP地址的情况，使用ipconfig/all命令查看获取到地址池分配的IP地址和其他网络信息，配置如下所示。PC1>ipconfig/all以太网适配器Ethernet0:

连接特定的DNS后缀.......:

描述...............:RealtekPCIeGbEFamilyController

物理地址.............:00-0C-29-2D-AC-11DHCP已启用...........:是

自动配置已启用..........:是

本地链接IPv6地址........:fe80::f6c4:9da3:43c5:cb1b%13(首选)IPv4地址............:192.168.10.1(首选)

子网掩码............:255.255.255.0项目验证(1)查看PC1所获取IP地址的情况，使用ipconfig/all命令查看获取到地址池分配的IP地址和其他网络信息，配置如下所示。PC1>ipconfig/all以太网适配器Ethernet0:

获得租约的时间.........:2024年1月25日10:34:29

租约过期的时间.........:2024年2月1日10:34:27

默认网关.............:192.168.10.254DHCP服务器...........:192.168.10.254DHCPv6IAID...........:100957206DHCPv6客户端DUID.......:00-01-00-01-2C-B2-81-7E-04-7C-16-61-AC-11项目验证(1)查看PC1所获取IP地址的情况，使用ipconfig/all命令查看获取到地址池分配的IP地址和其他网络信息，配置如下所示。可以看到PC1成功获取到了IP地址。PC1>ipconfig/all以太网适配器Ethernet0:DNS服务器...........:fec0:0:0:ffff::1%1fec0:0:0:ffff::2%1fec0:0:0:ffff::3%1TCPIP上的NetBIOS.......:已启用项目验证(2)查看PC2所获取IP地址的情况，使用ipconfig/all命令查看获取到地址池分配的IP地址和其他网络信息，配置如下所示。PC2>ipconfig/allWindowsIP配置

主机名.............:PC2

主DNS后缀...........:

节点类型............:混合IP路由已启用..........:否WINS代理已启用.........:否项目验证(2)查看PC2所获取IP地址的情况，使用ipconfig/all命令查看获取到地址池分配的IP地址和其他网络信息，配置如下所示。以太网适配器Ethernet0:

连接特定的DNS后缀.......:

描述...............:Intel(R)82574LGigabitNetworkConnection

物理地址.............:00-0C-29-2D-74-F4DHCP已启用...........:是

自动配置已启用..........:是

本地链接IPv6地址........:fe80::5812:7b44:b59e:b3bf%4(首选)IPv4地址............:192.168.10.2(首选)

子网掩码............:255.255.255.0项目验证(2)查看PC2所获取IP地址的情况，使用ipconfig/all命令查看获取到地址池分配的IP地址和其他网络信息，配置如下所示。可以看到PC2成功获取到了IP地址。以太网适配器Ethernet0:

获得租约的时间.........:2024年1月25日10:36:16

租约过期的时间.........:2024年2月1日10:36:16

默认网关.............:192.168.10.254DHCP服务器...........:192.168.10.254DHCPv6IAID...........:100666409DHCPv6客户端DUID.......:00-01-00-01-2C-C7-85-81-00-0C-29-2D-74-F4DNS服务器...........:fec0:0:0:ffff::1%1fec0:0:0:ffff::2%1fec0:0:0:ffff::3%1TCPIP上的NetBIOS.......:已启用项目验证(3)查看PC3所获取IP地址的情况，使用ipconfig/all命令查看获取到地址池分配的IP地址和其他网络信息，配置如下所示。PC3>ipconfig/allWindowsIP配置

主机名.............:PC3

主DNS后缀...........:

节点类型............:混合IP路由已启用..........:否WINS代理已启用.........:否项目验证(3)查看PC3所获取IP地址的情况，使用ipconfig/all命令查看获取到地址池分配的IP地址和其他网络信息，配置如下所示。以太网适配器Ethernet0:

连接特定的DNS后缀.......:

描述...............:RealtekPCIeGbEFamilyController

物理地址.............:00-0C-29-D2-C6-12DHCP已启用...........:是

自动配置已启用..........:是

本地链接IPv6地址........:fe80::e7c7:db44:5664:475%10(首选)IPv4地址............:192.168.20.1(首选)

子网掩码............:255.255.255.0项目验证(3)查看PC3所获取IP地址的情况，使用ipconfig/all命令查看获取到地址池分配的IP地址和其他网络信息，配置如下所示。可以看到PC3成功获取到了IP地址。以太网适配器Ethernet0:

获得租约的时间.........:2024年1月25日10:35:08

租约过期的时间.........:2024年2月1日10:35:02

默认网关.............:192.168.20.254DHCP服务器...........:192.168.20.254DHCPv6IAID...........:114594704DHCPv6客户端DUID.......:00-01-00-01-29-33-73-CA-D4-93-90-01-C6-12DNS服务器...........:fec0:0:0:ffff::1%1fec0:0:0:ffff::2%1fec0:0:0:ffff::3%1TCPIP上的NetBIOS.......:已启用项目验证(4)查看PC4所获取IP地址的情况，使用ipconfig/all命令查看获取到地址池分配的IP地址和其他网络信息，配置如