- 公司建築物 vlan 規劃資訊 (x為建築物的編號)
| vlan id | vlan name |
|---|---|
| X1 | RD_VL |
| X2 | IT_VL |
| X3 | Acc_VL |
| X4 | Sales_VL |
- VTP Domain Name 設定為 SWITCH20,且 VTP 只有 DSW1 為 Server mode
- DSW1 <=> ASW1 & DSW2 <=> ASW2 設定 EtherChannel 相關資訊如下:
- 802.1Q Trunk Link
- Channel Protocol is LACP
- DSW is active, ASW is passive
- Only allow Vlan 1,X1,X2,X3,X4
- DSW1 <=> ASW2 & DSW2 <=> ASW1 設定 EtherChannel 相關資訊如下:
- 802.1q Turnk Link
- Channel Protocol is LACP
- DSW is active,ASW is passive
- Only allow Vlan 1,X1,X2,X3,X4
- DSW1 <=> DSW2 設定 EtherChannel 相關資訊如下:
- ISL Trunk Link
- Channel Protocol is PAgP
- Only allow Vlan 1,X1,X2,X3,X4
- 建立 SVI (Switch Virtual Interface)
| DSW1 Creat SVI | DSW2 Creat SVI |
|---|---|
| X1 10.X.X1.251/24 | X1 10.X.X1.252/24 |
| X2 10.X.X2.251/24 | X2 10.X.X2.252/24 |
| X3 10.X.X3.251/24 | X3 10.X.X3.252/24 |
| X4 10.X.X4.251/24 | X4 10.X.X4.252/24 |
- HSRP 單數 vlan 的介面 Active 在 DSW1,DSW2 為 Backup
HSRP 雙數 vlan 的介面 Active 在 DSW2,DSW1 為 Backup
HSRP Virtual IP X1 =>10.X.X1.254/24
HSRP Virtual IP X2 =>10.X.X2.254/24
HSRP Virtual IP X3 =>10.X.X3.254/24
HSRP Virtual IP X4 =>10.X.X4.254/24
- Spanning-Tree Protocol 利用 PVRST ,且要與 HSRP 匹配調整設定 Root Primary and secondary
- DSW1 與 DSW2 設定 Router Port 的 EtherChannel
| Distribution Switch | Port# | IP Address | Backbone Switch | CSWPort # | CSW IP Address |
|---|---|---|---|---|---|
| DSW1 | Fas 0/9 Fas 0/10 |
10.X.111.1/24 | CSW1 | Fas 0/0X Fas 0/1X |
10.X.111.101/24 |
| DSW1 | Fas 0/11 Fas 0/12 |
10.X.113.1/24 | CSW1 | Fas 0/0X Fas 0/1X |
10.X.113.102/24 |
| DSW2 | Fas 0/9 Fas 0/10 |
10.X.112.1/24 | CSW1 | Fas 0/0X+5 Fas 0/1X+5 |
10.X.112.101/24 |
| DSW2 | Fas 0/11 Fas 0/12 |
10.X.114.1/24 | CSW1 | Fas 0/0X+5 Fas 0/1X+5 |
10.X.114.102/24 |
- Routing Protocol 使用 EIGRP AS = 100
- 且當路由更新到 csw 時要做聚合(Summary) 成10.X.0.0/16 的網段
- Passive-interface 設定適當的介面
- 設定 DHCPv4 服務於 DSW1 與 DSW2
| DSW1 DHCP Pool | DSW2 DHCP Pool |
|---|---|
| X1 10.X.X1.1~99/24 | X1 10.X.X1.100~199/24 |
| X2 10.X.X2.1~99/24 | X2 10.X.X2.100~199/24 |
| X3 10.X.X3.1~99/24 | X3 10.X.X3.100~199/24 |
同時指定下列相關資訊給 DHCP Clinet
- Default gateway 10.X.X(該網段).254
- DNS 10.X.X2.201,10.X.X2.202
- Helper Address
- 把 Sales Vlan DHCP 服務建立於 R1 上面
- IP address 10.X.X4.1~199/24
- Default gateway 10.X.X(該網段).254
- DNS 10.X.X2.201, 10.X.X2.202
- Clinet 於 Sales Vlan 要能夠取得 DHCP 所配發的 IP 相關資訊
- 把 Sales Vlan DHCP 服務建立於 R1 上面
- Monitor Traffic
- Sniffer Server 在 DSW 的 Fas 0/14 Port
- 請設定要將 ASW 的 Fas0/5 - 6 流量錄製一份到 DSW 的 Fas 0/14 Port
- NTP
- 所有的 Switch 當 NTP Client,向 R1 對時
- Logging
- Buffer 存放 Notifications Level 以下等級的 Logging
- Syslog 存放 Errors Level 以下等級的 Logging
- Syslog Server 在 10.X.X2.204/24
- Against DHCP Spoof Attack on DSW Fas 0/1-8
- Against ARP Spoof Attack on DSW Fas 0/1-8
- BPDU Security
- ASW Fas0/1~16 設定 Spanning-tree Portfast
- Configure BPDU Guard
- Storm Control
- ASW Fas0/1~16 設定 Storm Control
- Unicast 50 Mbps,Boradcast 每秒 10 packets, 當違反發生進入 Err-disable
- RD_Vlan 可以 Ping 其他 Vlan 的 pc,但其他 Vlan 不可以 Ping 到 RD_Vlan (不可影響其他流量)
- 資安系統上發現有一台 pc 在做攻擊(MAC 為 0000.1111.1111),利用發送 Layer2 broadcast 攻擊同 Vlan PC ,請利用 VACL 防堵
