2025年6月4日星期三

IEEE 802.1X 認證與 Wi-Fi 安全性學習指南

一、核心概念與 802.1X 概述

1.1 什麼是 IEEE 802.1X？

定義：IEEE 802.1X 是一種基於連接埠的網路存取控制標準，主要用於提供使用者驗證，以防止未經授權的裝置連接到網路。它不是一個單一的協定，而是一個用於使用者認證的「框架」或「規範」。

應用環境：特別適用於 Wi-Fi 網路，因為其廣播性質使得未經授權的存取威脅更大。在有線網路中，資料通常保留在連接終端裝置的電纜中，而無線網路則通過無線電訊號傳輸資料。

工作原理：當 Wi-Fi 使用者透過 802.1X 認證網路存取時，存取點上會開啟一個允許通訊的虛擬連接埠。如果認證不成功，則不提供虛擬連接埠，通訊就會受到阻擋。

1.2 802.1X 認證的三個基本要素：

申請者 (Supplicant)：在 Wi-Fi 工作站上執行的軟體用戶端，負責發起認證請求（例如，筆記型電腦、手機等裝置上的 802.1X 用戶端軟體）。
認證者 (Authenticator)：接收認證請求並充當申請者和認證伺服器之間代理的網路裝置，通常是 Wi-Fi 存取點 (AP) 或交換器。它負責將申請者的認證資訊轉發給認證伺服器。
認證伺服器 (Authentication Server)：一個集中管理使用者資訊並執行認證的伺服器，通常是一個 RADIUS 伺服器（例如 Cisco ACS、Microsoft IAS）。它根據儲存的使用者憑證（ID/密碼、數位憑證）來驗證申請者的身分。

1.3 802.1X 認證中的通訊協定：

EAP (Extensible Authentication Protocol)：一種用於在申請者和認證伺服器之間傳遞認證資訊的可延伸認證通訊協定。802.1X 利用 EAP 進行認證。
EAP over LAN (EAPOL)：申請者和認證者之間的通訊使用 EAPOL，它將 EAP 封裝在乙太網路訊框的資料部分中。
RADIUS (Remote Authentication Dial-In User Service)：認證者和認證伺服器之間的通訊通常使用 RADIUS 協定來傳送認證資訊。因此，認證伺服器常被稱為 RADIUS 伺服器。

二、EAP 類型與憑證認證

2.1 EAP 的主要類型：

EAP 類型實際上處理和定義身分驗證。有多種 EAP 驗證類型，其中最常用的包括 EAP-PEAP 和 EAP-TLS。

EAP-PEAP (Protected Extensible Authentication Protocol)

認證方式：使用 ID 和密碼進行用戶端認證。

安全性：透過在 PEAP 用戶端與認證伺服器之間建立加密通道（隧道）來安全地傳輸認證資料，包括舊型的密碼式通訊協定。

憑證要求：只需要伺服器端憑證（伺服器憑證）來驗證 Wi-Fi 區域網路用戶端。

優點：實施和管理相對簡單，用戶端不需要憑證，由 Microsoft、Cisco 和 RSA Security 共同開發。

缺點：如果 ID 和密碼洩露，可能導致未經授權的存取。

EAP-TLS (Transport Layer Security)

認證方式：利用數位憑證進行用戶端認證。

安全性：提供用戶端與網路之間基於憑證的相互認證。數位憑證（用戶端憑證）安裝在用戶端上，比密碼更難洩露，因此安全性更強。

憑證要求：用戶端和伺服器端都需要管理相關的憑證。

優點：安全性高，支援動態產生每次連接作業的 WEP 金鑰。

缺點：憑證的準備和安裝過程較為繁瑣，對於大型網路來說管理成本較高。

其他 EAP 類型簡介：

EAP-MD-5：提供基本等級 EAP 支援，但不建議用於 Wi-Fi 網路，因為密碼可能被推斷，且不提供動態 WEP 金鑰導出。只適用於單向認證。
EAP-TTLS (Tunneled Transport Layer Security)：EAP-TLS 的延伸，透過加密通道提供用戶端與網路之間的憑證共同驗證，並提供動態 WEP 金鑰。與 EAP-TLS 相比，只需要伺服器端的憑證。
EAP-FAST (Flexible Authentication via Secure Tunneling)：由 Cisco 開發，不使用憑證執行相互驗證，而是透過 PAC (Protected Access Credential) 在安全通道中進行。PAC 可以手動或自動提供給用戶端。
EAP-SIM (Subscriber Identity Module)：使用 GSM (Global System for Mobile Communications) 用戶識別模組 (SIM) 進行認證，並使用動態作業階段金鑰加密資料。
EAP-AKA (Authentication and Key Agreement)：使用 UMTS (Universal Mobile Telecommunications System) 用戶識別模組 (USIM) 進行認證。
Cisco LEAP (Lightweight Extensible Authentication Protocol)：Cisco 專有認證方法，支援用戶端和 RADIUS 伺服器之間透過登入密碼進行雙向認證，提供動態的每使用者、每會話加密金鑰。

2.2 伺服器憑證：

EAP-PEAP 和 EAP-TLS 都會使用數位憑證進行伺服器認證，這稱為「伺服器憑證」。

三、802.1X 部署模式

3.1 部署模式概述：

802.1X 部署模式允許逐步增加網路的安全性態勢。

監控模式 (Monitor Mode)

特性：開啟 802.1X 但不實際阻擋流量。所有裝置都能連接到網路，無論是否認證。

目的：用於觀察 802.1X 的運作情況，了解哪些裝置正在發送 EAP 憑證，以及哪些裝置可能不支援 802.1X，以便在全面部署前進行評估，而不會中斷現有服務。

存取控制：不影響終端使用者或端點的連接。

低衝擊模式 (Low Impact Mode)

特性：在認證前提供有限的網路存取，例如僅允許 DHCP、DNS、HTTP (port 80) 和 HTTPS (port 443) 等基本連線能力。

目的：允許裝置在完成 802.1X 認證前進行基本的網路通訊，例如取得 IP 位址或進行網頁瀏覽以完成認證過程（例如導向到網頁認證入口）。

存取控制：認證成功後，會應用更廣泛的存取控制列表 (ACL) 或角色，提供完整的網路存取。

封閉模式 (Closed Mode)

特性：在認證成功前，不允許任何網路存取，包括 DHCP、DNS 等。

目的：提供最高等級的安全性。任何未經認證的裝置插入網路連接埠時，將無法進行任何通訊。

存取控制：只有在完成 802.1X 認證後，裝置才能獲得網路存取權限。

3.2 802.1X 容錯機制 (Fallback Mechanisms)：

並非所有裝置都支援 802.1X，因此需要容錯機制來確保網路的可用性。

MAC 認證旁路 (MAC Authentication Bypass, MAB)

目的：為不支援 802.1X 的裝置提供基本的認證方式。

工作原理：當裝置未能響應 EAP 請求時（通常是發送身份請求但沒有回覆憑證），交換器會嘗試使用裝置的 MAC 位址作為使用者名稱和密碼在 RADIUS 伺服器中進行驗證。

安全性考量：安全性較弱，因為 MAC 位址容易被偽造。通常需要結合 ACL 來限制 MAB 裝置的網路存取，例如只允許印表機進行列印。

訪客 VLAN (Guest VLAN)

目的：為無法理解 EAP 協定或無法成功認證的裝置提供有限的網路存取。

工作原理：當裝置在多次 EAP 嘗試後仍無回應（逾時）時，會被動態地分配到一個訪客 VLAN。

存取控制：訪客 VLAN 通常會導向到一個網頁認證入口 (Central Web Authentication)，或提供極其有限的網路資源。

受限 VLAN (Restricted VLAN)

目的：處理認證失敗（提供錯誤憑證）的裝置。

工作原理：當裝置提供錯誤的憑證導致認證失敗時，會被動態地分配到一個受限 VLAN。

存取控制：受限 VLAN 通常會提供極為有限的網路存取，可能只允許裝置訪問修復認證問題所需的資源。

3.3 主機模式 (Host Modes)：

802.1X 在埠級別運作，並支援不同的主機模式以適應多個裝置連接到單一連接埠的情況，例如 IP 電話後連接電腦。

單主機模式 (Single-Host Mode)：只允許一個裝置透過該連接埠進行認證和存取。一旦第一個裝置認證成功，其他裝置將被阻擋。
多主機模式 (Multi-Host Mode)：允許一個連接埠上有多個裝置連接，但只有第一個裝置需要通過 802.1X 認證。一旦第一個裝置認證成功，該連接埠上的所有其他裝置（無論是否認證）都將被允許存取網路。這對於虛擬機環境很方便，但安全性較低。
多網域認證 (Multi-Domain Authentication, MDA)：為每個連接埠提供一個資料裝置和一個語音裝置的獨立認證。這允許 IP 電話和連接到電話的電腦各自獨立地進行認證。
多重認證模式 (Multiple Authentication Mode)：每個連接埠上的每個 MAC 位址都需要獨立地進行 802.1X 認證。這是最安全的模式，但管理複雜度也最高。

四、WPA2 與 802.1X 的整合

4.1 WPA2 概述：

定義：WPA2 是一種加密標準，用於在無線裝置和存取點之間提供安全通訊。它使用 AES (Advanced Encryption Standard) 加密資料傳輸，被認為是目前最安全的無線安全選項。

類型：

WPA2-PSK (Pre-Shared Key)：使用單一預共享密碼保護網路，適用於家庭或小型辦公室環境。缺點是單一密碼易於洩露，存在憑證竊取和中間人攻擊的風險。
WPA2-Enterprise：為每個使用者分配唯一的憑證或數位憑證來連接網路，而不是共享單一密碼。安全性遠高於 WPA2-PSK。

4.2 WPA2-Enterprise 與 802.1X 的協同工作：

WPA2-Enterprise 和 802.1X 經常結合使用，以提供企業級別的 Wi-Fi 安全性。

802.1X 的角色：802.1X 標準透過 RADIUS 伺服器管理網路存取控制，負責驗證使用者的身分（基於密碼、令牌或憑證）。
WPA2-Enterprise 的角色：WPA2-Enterprise 提供改進的加密，確保資料在空中傳輸的機密性和完整性。
協同效應：當兩者結合時，使用者使用其唯一的憑證或憑證透過 802.1X 認證，然後 WPA2-Enterprise 提供強大的加密來保護認證後的資料傳輸。這比單純的 WPA2-PSK 更安全，因為每個使用者都有獨立的憑證。

4.3 加密機制：

WEP (Wired Equivalent Privacy)：舊版加密標準，已被證明不安全，易受攻擊。
TKIP (Temporal Key Integrity Protocol)：為了解決 WEP 缺點而引入，使用 RC4 演算法，並為每個資料包更改臨時金鑰。雖然優於 WEP，但仍存在漏洞。
AES (Advanced Encryption Standard)：最安全的加密標準，使用 Rijndael 演算法，支援 128、192 和 256 位元金鑰。WPA2 通常與 AES 結合使用。
MIC (Message Integrity Check)：WEP 的增強功能，可防止對加密資料包的位元翻轉攻擊，確保資料完整性。

五、快速安全漫遊 (Fast Secure Roaming, FSR)

5.1 漫遊的基本概念：

用戶端主導：無線用戶端始終是決定漫遊到哪個 AP 的主導者。漫遊事件在無線用戶端認為需要漫遊時啟動。

關聯過程：無論有無安全性，用戶端連接到 AP 時都會經過 802.11 開放系統認證和關聯過程。在漫遊時，這個過程會使用「重新關聯」訊框。

延遲問題：對於啟用了高層次安全性的 WLAN，每次漫遊到新的 AP 時，用戶端都需要重新執行完整的 EAP 認證和 WPA/WPA2 4 次握手，這會導致延遲，可能影響對延遲敏感的應用程式（如語音或視訊）。

5.2 FSR 的目的：

加速 WLAN 漫遊過程，尤其是在啟用安全性時，以減少延遲並提供更流暢的使用者體驗。

5.3 主要的快速安全漫遊方法：

CCKM (Cisco Centralized Key Management)

特性：Cisco 專有協定，最初由 Cisco 開發以解決漫遊延遲。

工作原理：用戶端首次認證後，WLC 會快取其主要金鑰 (MSK)，並與行動群組中的其他 WLC 共享。漫遊時，CCKM 用戶端只需傳送一個重新關聯請求訊框，其中包含足夠的資訊來從快取的主金鑰中導出新的加密金鑰，從而跳過完整的 EAP 認證和 4 次握手。

優點：速度最快，支援多種加密方法。

缺點：Cisco 專有，限制了對非 Cisco 裝置的支援。

PMKID 快取 / 粘滯金鑰快取 (Sticky Key Caching, SKC)

特性：IEEE 802.11i 標準中建議的可選快速安全漫遊方法。

工作原理：用戶端和 AP 會快取已建立安全關聯的配對主金鑰 (PMK)。漫遊時，如果用戶端回到之前連接過的 AP，它會使用快取的 PMKID 進行重新關證，只需執行 WPA2 4 次握手即可獲取新的加密金鑰，從而避免完整的 EAP 認證。

優點：可由獨立 AP 在本地實施。

缺點：只在用戶端漫遊回之前連接過的 AP 時才有效；對快取的 PMK 數量有限制；非所有 WPA2 裝置都支援；不支援控制器間漫遊。

機會式金鑰快取 (Opportunistic Key Caching, OKC) / 主動式金鑰快取 (Proactive Key Caching, PKC)

特性：PMKID 快取方法的增強版，非 802.11 標準定義。

工作原理：與 SKC 類似，但 OKC 允許用戶端在相同 WLAN/SSID 下漫遊到新的 AP 時仍能利用快取的 PMK。它在初始認證後將原始 PMK 共享給所有 AP，並根據用戶端 MAC、AP MAC 和 PMK 計算 PMKID。漫遊時，新的 AP 會重新計算 PMKID 以驗證匹配，然後只需進行 4 次握手，跳過完整的 EAP 認證。

優點：用戶端和 WLAN 基礎設施只需快取一個 PMK，在任何 AP 間漫遊都能加速，無需重複 EAP 認證。

缺點：需要在集中式環境中部署（如 WLC），非標準化，裝置支援差異大。

預認證 (Preauthentication)

特性：IEEE 802.11i 標準中建議的方法，但 Cisco WLAN 基礎設施不支援。

工作原理：用戶端可以在與當前 AP 關聯的同時對多個鄰近 AP 進行預先認證。這意味著在實際漫遊之前，用戶端已經與目標 AP 完成了完整的 EAP 認證和 PMK 建立。

優點：每個 AP 到用戶端都有獨立的 PMK。

缺點：對可預認證的 AP 數量有限制；每次預認證都會產生完整的 EAP 交換，增加網路和認證伺服器負載；大多數無線用戶端不支援。

802.11r (Fast BSS Transition, FT)

特性：IEEE 於 2008 年正式批准的首個標準化快速安全漫遊方法。定義了更複雜的金鑰層次結構。

工作原理：在用戶端首次認證後，會生成多級 PMK（PMK-R0、PMK-R1、PTK）。漫遊時，802.11r 將 802.11 認證訊框和重新關聯訊框結合起來交換 FT 資訊，並直接導出新的加密金鑰，從而避免了完整的 EAP 認證和 4 次握手。

漫遊方法：

空中 (Over-the-Air)：認證金鑰管理協商發生在 802.11 認證訊框或操作訊框中。
透過 DS (Over-the-DS)：用戶端向當前 AP 傳送 FT 操作請求訊框，然後由原始 AP 透過有線基礎設施轉發給目標 AP，目標 AP 回應 FT 操作響應。

優點：標準化、跨廠商相容性高；在有 PSK 安全性的情況下也能加速漫遊。

缺點：裝置支援不一；實施較新，可能存在未預期的問題；不支援 802.11r 的用戶端無法連接到啟用了 802.11r 的 SSID，需要單獨的 SSID 或自適應模式。

5.4 自適應 802.11r (Adaptive 802.11r)：

目的：解決舊版用戶端無法連接到已啟用 802.11r 的 WLAN/SSID 的問題。

工作原理：當 FT 模式設定為 Adaptive 時，WLAN 會在啟用 802.11i 的 WLAN 上廣播 802.11r 移動域 ID。某些 Apple iOS10（及更高版本）裝置會識別 MDIE 並執行專有握手建立 802.11r 關聯。其他用戶端仍可繼續 802.11i/WPA2 關聯。

六、無線網路安全的其他考量

6.1 802.11 無線 LAN 標準定義的認證方法：

開放式認證 (Open Authentication)：基本上是空認證演算法，意味著不對使用者或機器進行驗證。任何裝置都可以發出認證請求。如果未啟用加密，任何知道 WLAN SSID 的裝置都可以存取網路。
共享金鑰認證 (Shared Key Authentication)：使用 WEP 加密金鑰進行認證。AP 傳送質詢文本，用戶端使用 WEP 金鑰加密後回覆。主要缺點是質詢文本和加密文本的交換容易受到中間人攻擊，導致 WEP 金鑰被推斷。

6.2 不建議使用的認證機制：

SSID 認證 (SSID Authentication)：SSID 是一種網路名稱，不是安全機制。SSID 值以明文形式廣播，容易被竊聽者確定。禁用 SSID 廣播也無法實現增強安全性。
MAC 位址認證 (MAC Address Authentication)：雖然常用，但 MAC 位址可以被偽造，安全性較弱。

6.3 無線網路安全漏洞：

弱裝置認證：只驗證裝置而非使用者。
弱資料加密：WEP 已被證明無效。
無訊息完整性：ICV (Integrity Check Value) 無效。

6.4 VPN 作為替代方案：

一些企業不依賴 Wi-Fi 區域網路進行認證和隱私保護，而是實施 VPN。這種方法在企業防火牆外部放置存取點，使用者透過 VPN 閘道連接。然而，VPN 解決方案通常成本高昂，初始安裝複雜，且管理成本持續存在。

2024年3月31日星期日

安裝Kaspersky後無法打開Outlook解決方法

在 Outlook 中設定了 1 個 IMAP 電子郵件。是我公司的電子郵件。我的公司郵箱不能發送也不能接收。

我找到了解決方案。您可以將其新增至網路排除清單中，而不是在郵件防毒中取消選取 IMAP 掃描，如下所示。

1. 選取設定

2. 選取 安全設定

3. 選取進階設定 => 網路設定

4. 往下拉選取 受信任位址

5. 新增

6. mail.公司網域.com.tw

7. 儲存

8. 在儲存

2018年2月25日星期日

中型企業網設計與部署

實驗要求：

一、設備管理

1、依據圖中拓撲，為全網設備定義主機名並配置 IP 地址。

2、全網設備關閉域名解析。

3、全網設備 Console 和 VTY 線路下關閉線路超時並開啟輸出同步。

4、為實現安全登錄，要求在全網設備創建本地用戶名 PingingLab，密碼 CCIE，並將其調用到 console 和 vty 線路下；要求設置特權密碼 CISCO，並要求加密存儲。

5、總部所有交換機管理vlan 為vlan1，所在網段為192.168.1.0/24，其中

SW1 的管理IP 為192.168.1.1/24，

SW2 為192.168.1.2/24，

SW3 為192.168.1.3/24，

SW4 為192.168.1.4/24；

分支交換機管理vlan 為vlan50，地址為192.168.50.253/24；要求所有交換機可以遠程管理。

二、交換技術

1、Trunk 技術

①總部所有交換機之間強制啟用 Trunk，並採用 802.1Q 進行封裝。

②總部所有交換機全局native vlan 定義為 vlan 10。

③總部所有交換機要求Trunk 上只允許 VLAN1、10、20、30、40 通過。

2、VTP&VLAN 技術

①總部SW1和SW2均為Server，其他交換機為Client。

②總部 VTP 管理域為 PingingLab，密碼為 cisco。

③總部全局開啟 VTP修剪。

④在 SW1 上創建 VLAN10/20/30/40，並要求全局同步。

⑤在分支交換機本地創建 VLAN50 和 VLAN60。

⑥將不同用戶接口放入相應的 VLAN 中。

3、STP 技術

①部署 PVST，要求 SW1 為 VLAN10/30 的 Root，VLAN20/40 的 Secondary，SW2 為 VLAN20/40 的 Root，VLAN10/40 的 Secondary，實現負載均衡。

②開啟 Portfast，加速用戶接入網絡接口。

③開啟 Uplinkfast，加速直連鏈路收斂。

④開啟 Backbonefast，加速骨幹鏈路收斂。

4、L3 Swithing 技術&單臂路由

①SW1 作為VLAN10/30 的主網關，VLAN20/40 的備網關，SW2 作為VLAN20/40 的主網關，VLAN10/30 的備網關，網關地址如下：

VLAN10：主192.168.10.254/24，備192.168.10.253/24

VLAN20：主192.168.20.254/24，備192.168.20.253/24

VLAN30：主192.168.30.254/24，備192.168.30.253/24

VLAN40：主192.168.40.254/24，備192.168.40.253/24

②在SW1、SW2、R3 上同時部署DHCP 服務，方便不同VLAN 的主機接入網絡，其中主DNS 為8.8.8.8，備用DNS 為114.114.114.114。

③在三層交換機上開啟三層路由功能，並要求 VLAN 間主機能夠相互通信。

④分支網絡要求部署單臂路由，實現 VLAN 間通信。

5、Etherchannel 技術

①為實現鏈路冗餘並提供網絡帶寬，要求在匯聚層交換機之間部署 L2 Etherchannel 技術。

6、Port-Security 技術

①為實現用戶接入安全，要求在所有用戶接入接口啟用端口安全技術。

②開啟地址學習，並定義最大 MAC 數為 1。

③定義用戶違反規則為 shutdown 模式，並要求在 30s 後自動恢復。

三、路由技術

1、在全網所有三層設備 SW1、SW2、R1、R3 上部署動態路由協議 OSPF，並通告到骨幹區域中。

2、內網三層設備 R3、SW1、SW2 部署默認路由指向邊緣路由器 R1。

2、在邊緣路由器 R1 上部署默認路由，用於訪問互聯網。

四、安全策略

1、要求只允許管理員地址 192.168.10.1/24 遠程訪問邊緣路由器 R1 和 R2。

2、廣域網鏈路上 R1 和 R3 實現 CHAP 認證，共享密碼為 PingingLab。

3、為實現內網主機訪問互聯網，要求部署 PAT 技術。並且要求 VLAN60 無法訪問互聯網，VLAN50 只能在周末時段訪問互聯網，其他 VLAN 正常訪問。

4、為實現互聯網主機訪問本地服務器，要求部署靜態 NAT 技術，將本地的 HTTP 和 Telnet 服務提供出去。

5、為實現內網互訪安全，要求其他 VLAN 無法訪問 VLAN60，其他 VLAN 可以相互訪問。

6、為防止設備故障導致配置丟失，要求備份全網設備配置文件，將所有配置文件保存到服務集群中的 FTP Server 上。

一、設備管理

1、依據圖中拓撲，為全網設備定義主機名並配置 IP 地址。

2、全網設備關閉域名解析。

SW1(config)# no ip domain lookup //配錯指令會報錯會卡住

3、全網設備 Console 和 VTY 線路下關閉線路超時並開啟輸出同步。

SW1(config)# line console 0

SW1(config-line)# logging synchronous //輸入同步
不配置的會有很多訊息騷擾

SW1(config-line)# exEc-Timeout 0 0

就不會被踢到一般模式

全網(config)# username PingingLab passwork secret CCIE

全網(config)# line console 0

全網(config-line)# logging local
全網(config-line)# exit

全網(config)# line vty 0 15

全網(config-line)# login local
全網(config-line)# exit
全網(config)# enable secret CISCO

5、總部所有交換機管理vlan 為vlan1，所在網段為192.168.1.0/24，其中

SW1 的管理IP 為192.168.1.1/24，

SW2 為192.168.1.2/24，

SW3 為192.168.1.3/24，

SW4 為192.168.1.4/24；

分支交換機管理vlan 為vlan50，地址為192.168.50.253/24；要求所有交換機可以遠程管理。

SW1(config)# interface vlan 1

SW1(config-if)# no shutdown
SW1(config-if)# ip address 192.168.1.1 255.255.255.0

SW2(config)# interface vlan 1

SW2(config-if)# no shutdown
SW2(config-if)# ip address 192.168.1.2 255.255.255.0

SW3(config)# interface vlan 1

SW3(config-if)# no shutdown
SW3(config-if)# ip address 192.168.1.3 255.255.255.0

SW4(config)# interface vlan 1

SW4(config-if)# no shutdown
SW4(config-if)# ip address 192.168.1.4 255.255.255.0

SW5(config)# interface vlan 50

SW5(config-if)# no shutdown
SW5(config-if)# ip address 192.168.50.253 255.255.255.0

二、交換技術

1、Trunk 技術

①總部所有交換機之間強制啟用 Trunk，並採用 802.1Q 進行封裝。

SW1(config)# interface range fa 0/0 – 3

SW1(config-if-range)# switchport trunk encapsulation dot1q
SW1(config-if-range)# switchport mode trunk
SW1(config-if-range)# exit

SW2(config)# interface range fa 0/0 – 3

SW2(config-if-range)# switchport trunk encapsulation dot1q
SW2(config-if-range)# switchport mode trunk
SW2(config-if-range)# exit

SW3(config)# interface range fa 0/1 – 2

SW3(config-if-range)# switchport trunk encapsulation dot1q
SW3(config-if-range)# switchport mode trunk
SW3(config-if-range)# exit

SW4跟SW3一樣

SW2# show interface trunk

②總部所有交換機全局native vlan 定義為 vlan 10。

所有的Trunk鏈路裡都要配置這個命令

SW1(config)# interface range fa 0/0 – 3

SW1(config-if-range)# switchport trunk native vlan 10

SW2(config)# interface range fa 0/0 – 3

SW2(config-if-range)# switchport trunk native vlan 10

SW3(config)# interface range fa 0/1 – 2

SW2(config-if-range)# switchport trunk native vlan 10

SW4跟SW3一樣

③總部所有交換機要求Trunk 上只允許 VLAN1、10、20、30、40 通過。

SW1(config-if-range)# switchport trunk allowed vlan 1,1002-1005,10,20,30,40

SW2(config-if-range)# switchport trunk allowed vlan 1,1002-1005,10,20,30,40

SW3(config-if-range)# switchport trunk allowed vlan 1,1002-1005,10,20,30,40

SW4跟SW3一樣

2、VTP&VLAN 技術

①總部SW1和SW2均為Server，其他交換機為Client。

②總部 VTP 管理域為 PingingLab，密碼為 cisco。

SW1(config)# vtp domain PingingLab

SW1(config)# vtp password Cisco
SW1(config)# vtp server

SW2(config)# vtp domain PingingLab

SW2(config)# vtp password Cisco
SW2(config)# vtp server

SW3(config)# vtp domain PingingLab

SW3(config)# vtp password Cisco
SW3(config)# vtp client

SW4跟SW3一樣

③總部全局開啟 VTP修剪。

SW1(config)# vtp pruning

在其中一台vtp server上開啟VTP修剪功能即可

④在 SW1 上創建 VLAN10/20/30/40，並要求全局同步。

SW1(config)# vlan 10

SW1(config-vlan)# vlan 20
SW1(config-vlan)# vlan 30
SW1(config-vlan)# vlan 40

⑤在分支交換機本地創建 VLAN50 和 VLAN60。

SW5(config)# vlan 50

SW5(config-vlan)# vlan 60

⑥將不同用戶接口放入相應的 VLAN 中。

SW3(config)# interface fa 0/3

SW3(config-if)# switchport mode access
SW3(config-if)# switchport access vlan 10

SW3(config)# interface fa 0/4

SW3(config-if)# switchport mode access
SW3(config-if)# switchport access vlan 20

SW4(config)# interface fa 0/3

SW4(config-if)# switchport mode access
SW4(config-if)# switchport access vlan 30

SW4(config)# interface fa 0/4

SW4(config-if)# switchport mode access
SW4(config-if)# switchport access vlan 40

SW5(config)# interface fa 0/2

SW5(config-if)# switchport mode access
SW5(config-if)# switchport access vlan 50

SW5(config)# interface fa 0/3

SW5(config-if)# switchport mode access
SW5(config-if)# switchport access vlan 60

show vtp status看本地交換機的VTP狀態
配置版本號：做同步用的（只要高，就會去覆蓋別人）
show vlan brief看看vlan數量（5個為系統保留：1,1002-1005）
show vtp password看VTP域中有沒有認證，只有這一條命令可以看（可以忽略後面加空格的問題）

3、STP 技術

27:20

①部署 PVST，要求 SW1 為 VLAN10/30 的 Root，VLAN20/40 的 Secondary，SW2 為 VLAN20/40 的 Root，VLAN10/40 的 Secondary，實現負載均衡。

SW1(config)# spanning-tree vlan 10 root primary

SW1(config)# spanning-tree vlan 30 root primary
SW1(config)# spanning-tree vlan 20 root secondary
SW1(config)# spanning-tree vlan 40 root secondary

SW1# show run | include spanning

SW2(config)# spanning-tree vlan 20 root primary

SW2(config)# spanning-tree vlan 40 root primary
SW2(config)# spanning-tree vlan 10 root secondary
SW2(config)# spanning-tree vlan 30 root secondary

SW3# show spanning-tree vlan 10 brief

②開啟 Portfast，加速用戶接入網絡接口。

SW3(config)# interface range fa 0/3 - 4

SW3(config-if)# spanning-tree portfast

SW4(config)# interface range fa 0/3 - 4

SW4(config-if)# spanning-tree portfast

③開啟 Uplinkfast，加速直連鏈路收斂。

SW3(config)# spanning-tree uplinkfast

SW4(config)# spanning-tree uplinkfast

④開啟 Backbonefast，加速骨幹鏈路收斂。

SW1(config)# spanning-tree backbonefast

SW2(config)# spanning-tree backbonefast

SW3(config)# spanning-tree backbonefast

SW4(config)# spanning-tree backbonefast

4、L3 Swithing 技術&單臂路由

①SW1 作為VLAN10/30 的主網關，VLAN20/40 的備網關，SW2 作為VLAN20/40 的主網關，VLAN10/30 的備網關，網關地址如下：

VLAN10：主192.168.10.254/24，備192.168.10.253/24

VLAN20：主192.168.20.254/24，備192.168.20.253/24

VLAN30：主192.168.30.254/24，備192.168.30.253/24

VLAN40：主192.168.40.254/24，備192.168.40.253/24

基本上要是主閘道Down掉了他不會走備份閘道，還是要靠HSRP來實現容錯

SW1(config)# interface vlan 10 //如果沒創建VLAN他的接口會Down掉

SW1(config-if)# ip address 192.168.10.254 255.255.255.0
SW1(config)# interface vlan 30
SW1(config-if)# ip address 192.168.30.254 255.255.255.0
SW1(config)# interface vlan 20
SW1(config-if)# ip address 192.168.20.253 255.255.255.0
SW1(config)# interface vlan 40
SW1(config-if)# ip address 192.168.40.253 255.255.255.0

SW2(config)# interface vlan 20

SW2(config-if)# ip address 192.168.20.254 255.255.255.0
SW2(config)# interface vlan 40
SW2(config-if)# ip address 192.168.40.254 255.255.255.0
SW2(config)# interface vlan 10
SW2(config-if)# ip address 192.168.10.253 255.255.255.0
SW2(config)# interface vlan 30
SW2(config-if)# ip address 192.168.30.253 255.255.255.0

SW1# show ip interface brief

②在SW1、SW2、R3 上同時部署DHCP 服務，方便不同VLAN 的主機接入網絡，其中主DNS 為8.8.8.8，備用DNS 為114.114.114.114。

SW1(config)# ip dhcp pool vlan 10

SW1(dhcp-config)# network 192.168.10.0 255.255.255.0
SW1(dhcp-config)# default-router 192.168.10.254
SW1(dhcp-config)# dns-server 8.8.8.8 114.114.114.114
SW1(dhcp-config)# lease 7
SW1(dhcp-config)# exit

SW1(config)# ip dhcp pool vlan 20

SW1(dhcp-config)# network 192.168.20.0 255.255.255.0
SW1(dhcp-config)# default-router 192.168.20.254
SW1(dhcp-config)# dns-server 8.8.8.8 114.114.114.114
SW1(dhcp-config)# lease 7
SW1(dhcp-config)# exit

SW1(config)# ip dhcp pool vlan 30

SW1(dhcp-config)# network 192.168.30.0 255.255.255.0
SW1(dhcp-config)# default-router 192.168.30.254
SW1(dhcp-config)# dns-server 8.8.8.8 114.114.114.114
SW1(dhcp-config)# lease 7
SW1(dhcp-config)# exit

SW1(config)# ip dhcp pool vlan 40

SW1(dhcp-config)# network 192.168.40.0 255.255.255.0
SW1(dhcp-config)# default-router 192.168.40.254
SW1(dhcp-config)# dns-server 8.8.8.8 114.114.114.114
SW1(dhcp-config)# lease 7
SW1(dhcp-config)# exit

SW1(config)# ip dhcp excluded-address 192.168.10.254

SW1(config)# ip dhcp excluded-address 192.168.20.254

SW1(config)# ip dhcp excluded-address 192.168.30.254

SW1(config)# ip dhcp excluded-address 192.168.40.254

SW1# show run | section dhcp

SW2跟SW1一樣

③在三層交換機上開啟三層路由功能，並要求 VLAN 間主機能夠相互通信。

R3(config)# ip dhcp pool vlan 50

R3(dhcp-config)# network 192.168.50.0 255.255.255.0
R3(dhcp-config)# default-router 192.168.50.254
R3(dhcp-config)# dns-server 8.8.8.8 114.114.114.114
R3(dhcp-config)# lease 7
R3(dhcp-config)# exit

R3(config)# ip dhcp pool vlan 60

R3(dhcp-config)# network 192.168.60.0 255.255.255.0
R3(dhcp-config)# default-router 192.168.60.254
R3(dhcp-config)# dns-server 8.8.8.8 114.114.114.114
R3(dhcp-config)# lease 7
R3(dhcp-config)# exit

R3(config)# ip dhcp excluded-address 192.168.50.254

R3(config)# ip dhcp excluded-address 192.168.60.254

④分支網絡要求部署單臂路由，實現 VLAN 間通信。

R3(config)# interface fa 1/0

R3(config-if)# no shutdown
R3(config-if)# exit
R3(config)# interface fa 1/0.50
R3(config-subif)# encapsulation dot1q 50
R3(config-subif)# ip address 192.168.50.254 255.255.255.0
R3(config-subif)# interface fa 1/0.60
R3(config-subif)# encapsulation dot1q 60
R3(config-subif)# ip address 192.168.60.254 255.255.255.0

SW5(config)# interface fa 0/1

SW5(config-if)# switchport mode trunk
SW5(config-if)# switchport trunk encapsulation dot1q

5、Etherchannel 技術

①為實現鏈路冗餘並提供網絡帶寬，要求在匯聚層交換機之間部署 L2 Etherchannel 技術。

SW1(config)# interface range fa 0/0 – 1

SW1(config-if-range)# channel-group 1 mode on

SW2(config)# interface range fa 0/0 – 1

SW2(config-if-range)# channel-group 1 mode on

SW2# show interface port-channel 1

SW2# show etherchannel summary

6、Port-Security 技術

①為實現用戶接入安全，要求在所有用戶接入接口啟用端口安全技術。

②開啟地址學習，並定義最大 MAC 數為 1。

③定義用戶違反規則為 shutdown 模式，並要求在 30s 後自動恢復。

三、路由技術

R1(config)# interface fa 0/0

R1(config-if)# no shutdown
R1(config-if)# ip address 172.16.1.1 255.255.255.0
R1(config-if)# interface fa 0/1
R1(config-if)# no shutdown
R1(config-if)# ip address 172.16.2.1 255.255.255.0
R1(config-if)# interface fa 0/2
R1(config-if)# no shutdown
R1(config-if)# ip address 100.1.1.1 255.255.255.0
R1(config-if)# interface fa 0/3
R1(config-if)# no shutdown
R1(config-if)# ip address 192.168.70.1 255.255.255.0

R1(config)# interface s 4/0

R1(config-if)# no shutdown
R1(config-if)# encapsulation ppp
R1(config-if)# ppp multilink group 1
R1(config-if)# exit
R1(config)# interface s 4/1
R1(config-if)# no shutdown
R1(config-if)# encapsulation ppp
R1(config-if)# ppp multilink group 1
R1(config-if)# exit
R1(config)# interface multilink 1
R1(config-if)# ip address 172.16.3.1 255.255.255.0

R3(config)# interface s 0/0

R3(config-if)# no shutdown
R3(config-if)# encapsulation ppp
R3(config-if)# ppp multilink group 1
R3(config-if)# exit
R3(config)# interface s 0/1
R3(config-if)# no shutdown
R3(config-if)# encapsulation ppp
R3(config-if)# ppp multilink group 1
R3(config-if)# exit
R3(config)# interface multilink 1
R3(config-if)# ip address 172.16.3.2 255.255.255.0

SW1(config)# interface fa 0/3

SW1(config-if)# no switchport
SW1(config-if)# ip address 172.16.1.10 255.255.255.0

SW2(config)# interface fa 0/3

SW2(config-if)# no switchport
SW2(config-if)# ip address 172.16.2.20 255.255.255.0

1、在全網所有三層設備 SW1、SW2、R1、R3 上部署動態路由協議 OSPF，並通告到骨幹區域中。

R1(config)# router ospf 100

R1(config-router)# router-id 1.1.1.1
R1(config-router)# network 172.16.1.0 0.0.0.255 area 0
R1(config-router)# network 172.16.2.0 0.0.0.255 area 0
R1(config-router)# network 172.16.3.0 0.0.0.255 area 0
R1(config-router)# network 192.168.70.0 0.0.0.255 area 0

R2(config)# router ospf 100

R2(config-router)# router-id 2.2.2.2
R2(config-router)# network 172.16.3.0 0.0.0.255 area 0
R2(config-router)# network 192.168.50.0 0.0.0.255 area 0
R2(config-router)# network 192.168.60.0 0.0.0.255 area 0

SW1(config)# router ospf 100

SW1(config-router)# router-id 10.10.10.10
SW1(config-router)# network 172.16.1.0 0.0.0.255 area 0
SW1(config-router)# network 192.168.0.0 0.0.255.255 area 0

SW2(config)# router ospf 100

SW2(config-router)# router-id 20.20.20.20
SW2(config-router)# network 172.16.2.0 0.0.0.255 area 0
SW2(config-router)# network 192.168.0.0 0.0.255.255 area 0

2、內網三層設備 R3、SW1、SW2 部署默認路由指向邊緣路由器 R1。

2、在邊緣路由器 R1 上部署默認路由，用於訪問互聯網。

R1(config)# router ospf 100

R1(config-router)# default-information originate always

所有的路由器都會發一條默認路由指向R1

也可以用手動配置默認路由

R1(config)# ip route 0.0.0.0 0.0.0.0 100.1.1.2

R2(config)# ip route 0.0.0.0 0.0.0.0 172.16.3.1

SW1(config)# ip route 0.0.0.0 0.0.0.0 172.16.1.1

SW2(config)# ip route 0.0.0.0 0.0.0.0 172.16.2.1

四、安全策略

1、要求只允許管理員地址 192.168.10.1/24 遠程訪問邊緣路由器 R1 和 R2。

R1(config)# access-list 1 permit host 192.168.10.1

R1(config)# line vty 0 15
R1(config-line)# access-class 1 in

R3(config)# access-list 1 permit host 192.168.10.1

R3(config)# line vty 0 15
R3(config-line)# access-class 1 in

2、廣域網鏈路上 R1 和 R3 實現 CHAP 認證，共享密碼為 PingingLab。

R1(config)# username R2 password PingingLab

R1(config)# interface multilink 1
R1(config-if)# ppp authentication chap

R2(config)# username R1 password PingingLab

R2(config)# interface multilink 1
R2(config-if)# ppp authentication chap

3、為實現內網主機訪問互聯網，要求部署 PAT技術。並且要求 VLAN60 無法訪問互聯網，VLAN50只能在周末時段訪問互聯網，其他VLAN 正常訪問。

R1(config)# time-range vlan 50 //vlan 50為名字

R1(config-time-range)# periodic weekend 00:00 to 23:59
R1(config-time-range)# exit

R1(config)# ip access-list extended PAT

R1(config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 any
R1(config-ext-nacl)# permit ip 192.168.20.0 0.0.0.255 any
R1(config-ext-nacl)# permit ip 192.168.30.0 0.0.0.255 any
R1(config-ext-nacl)# permit ip 192.168.40.0 0.0.0.255 any
R1(config-ext-nacl)# permit ip 192.168.50.0 0.0.0.255 any time-range vlan 50
R1(config-ext-nacl)# exit

R1(config)# interface range fa 0/0 , fa 0/1 , fa 0/3

R1(config-if-range)# ip nat inside
R1(config-if-range)# exit

R1(config)# interface multilink 1

R1(config-if)# ip nat inside

R1(config-if)# interface fa 0/2

R1(config-if)# ip nat outside

執行

R1(config)# ip nat inside source list PAT interface fa 0/2 overload

配置外網

R2(config)# interface fa 0/0

R2(config-if)# no shutdown
R2(config-if)# ip address 100.1.1.2 255.255.255.0
R2(config-if)# interface loopback 1
R2(config-if)# ip address 8.8.8.8 255.255.255.255

4、為實現互聯網主機訪問本地服務器，要求部署靜態 NAT 技術，將本地的 HTTP 和 Telnet 服務提供出去。

R1(config)# ip nat inside source static tcp 192.168.70.10 80 100.1.1.10 80

R1(config)# ip nat inside source static tcp 192.168.70.20 23 100.1.1120 23

R1# show run | include ip nat

不想配置又想別人登入你

Telnet-Server(config)# line vty 0 15

Telnet-Server(config-line)# no login

如果進來直接為管理員模式

Telnet-Server(config-line)# privilege level 15

5、為實現內網互訪安全，要求其他VLAN無法訪問VLAN60，其他VLAN可以相互訪問。

R3(config)# access-list 1 deny 192.168.60.0 0.0.0.255

R3(config)# access-list 1 permit any

R3(config)# interface fa 1/0.60

R3(config-subif)# ip access-group 1 in

6、為防止設備故障導致配置丟失，要求備份全網設備配置文件，將所有配置文件保存到服務集群中的 FTP Server 上。

FTP-Server(config)# ftp enable

FTP-Server(config)# ftp topdir flash:

R1# copy running-config ftp

? 192.168.70.30

FTP-Server# show flash:

FTP-Server# more flash: r1-confg

R3# copy running-config ftp:

? 192.168.70.30

二層交換的的配置

SW3(config)# ip default-gateway 192.168.1.1

SW5(config)# ip default-gateway 192.168.50.254

SW5# copy running-config ftp:

? 192.168.70.30

訂閱：文章 (Atom)

網頁

2025年6月4日 星期三