寫寫筆記

目標: 讓VLAN100與VLAN200的電腦透過L3 Swtich做VLAN的Routing，並且可以互相存取資源與上網，另外再使用Windows Server 2012配發VLAN100,VLAN200的IP Firewall: 使用ASUS AP當Firewall，並設兩條Static Route Switch: Core Switch為Cisco 3750切VLAN 10,VLAN100,VLAN200，VLAN10為預設的VLAN，VLAN100為Sales，VLAN200為RD Edge Switch為Cisco 3750與2950，其中2950為VLAN100，3750為VLAN200，如果要By Port切VLAN也可以，這裡只是為了方便說明，所以Edge Switch都直接設為單一VLAN Core Switch的設定 原本我只想Show Running-config其中比較重要的設定，後來想想還是全部列出，用紅色標記重要的設定 Gi 1/0/1接2950 Gi 1/0/2接3750 Gi 1/0/24接Router Core-3750#show running-config Building configuration... Current configuration : 2436 bytes ! version 12.2 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Core-3750 ! boot-start-marker boot-end-marker ! ! ! ! no aaa new-model switch 1 provision ws-c3750g-24t system mtu routing 1546 ip routing no ip domain-lookup ! ! ! ! ! ! ! ! spanning-tree mode pvst spanning-tree portfas

設定系統密碼 使用SSH登入 關掉HTTP (no ip http server) 關掉不需要使用的Port 使用syslog 關掉CDP 增加Spanning的安全性(BPDU Guard,Root Guard...) 使用Port Security 使用802.1x驗證

目標： PC1為VLAN 66，PC2為VLAN 1，PC3為VLAN88 使用Router on a stick，讓VLAN裡的PC可以互通，同時也可以連到設在Switch VLAN1的IP ====Switch設定==== SW(config)#ip default-gateway 10.1.1.254 SW(config)#interface VLAN 1 SW(config-if)#ip address 10.1.1.1 255.255.255.0 SW(config-if)#no shutdown SW(config)#interface range fastEthernet 0/1-10 SW(config-if-range)#switchport access vlan 66 SW(config)#interface range fastEthernet 0/14-24 SW(config-if-range)#switchport access vlan 88 SW(config)#interface fastEthernet 0/12 SW(config-if)#switchport mode trunk SW(config-if)#^Z SW#show vlan brief VLAN Name                             Status    Ports ---- -------------------------------- --------- ------------------------------- 1    default                          active    Fa0/11, Fa0/13 66   VLAN0066                         active    Fa0/1, Fa0/2, Fa0/3, Fa0/4                                                 Fa0/5, Fa0/6, Fa0/7, Fa0/8                                                 Fa0/9, Fa0/10 88   VLAN0088       

密碼猜了半天也進不去 CISCO2811> enable Password: Password: Password: % Bad secrets Reload手動重開機，然後按下 Ctrl+Break 鍵，強迫進入Rom Monitor CISCO2811>enable Password: Password: Password: % Bad secrets program load complete, entry point: 0x8000f000, size: 0x3ed1338 Self decompressing the image : ############# monitor: command "boot" aborted due to user interrupt rommon 2 > confreg 0x2142 rommon 3 > reset System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Copyright (c) 2000 by cisco Systems, Inc. Initializing memory for ECC .. c2811 processor with 524288 Kbytes of main memory Main memory is configured to 64 bit mode with ECC enabled Readonly ROMMON initialized program load complete, entry point: 0x8000f000, size: 0xc940 program load complete, entry point: 0x8000f000, size: 0xc940 program load complete, entry point: 0x8000f000, size: 0x3ed1338 Self decompressing the image : ############################

目標: Port 0/8 有定只能讓3個指定的Mac-address通過,若有異常Mac-address該Port則會Shutdown,但10分鐘後會自行恢復! 會設Shutdown的原因一方便是讓使用者知道他使用非法設備連入,而自行恢復是不想讓自己太累...偷懶使用~~ 設定方式: 先看有沒有啟動Port-Security SW12-2950# show port-security Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action                 (Count)       (Count)          (Count) --------------------------------------------------------------------------- --------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port)     : 0 Max Addresses limit in System (excluding one mac per port) : 1024 啟動Port-Security,並用使用Sticky紀錄Mac-Address SW12-2950#configure terminal Enter configuration commands, one per line.  End with CNTL/Z. SW12-2950(config)#interface fastEthernet 0/8 SW12-2950(config-if)# switchport mode access SW12-2950(config-if)# switchport port-security SW12-2950(config-if)# switchport port-security maximum 3 SW12-2950(config-if)# switchport port-securi

手上有ASUS AC66u與ASUS N12HP，本來是想用WIFI來連接MOD，但後來因為WDS不能加密(ASUS 官網提到只能用WEP加密)，所以就放棄了.... 建立WDS過程蠻簡單的，兩台在WDS的選項，互相加入對方的Mac-Address 把無線的頻道與加密方式設為相同，但重點是如果你跟我一樣使用AES加密，就會無法成功(如下圖) 所以最後我是設定Open System，連WEP都沒有的加密........ 雖然可以成功，但我應該還是不會用WDS因為太不安全了~ ASUS 官方建立WDS的方式

預設CISCO L2 Switch的Port介面都是啟用的，為了安全性的考量應該將沒有用的到介面關閉 1.shutdown 2.port-security 3.指定到某一無在使用的VLAN 3.設定switchport mode access，避免形成Trunk

設定介面安全防護機制，例如禁止員工私帶筆電到公司使用，在Switch介面上綁定Mac-Address 查看有無介面設定Port-Security SW12#show port-security Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action                 (Count)       (Count)          (Count) --------------------------------------------------------------------------- --------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port)     : 0 Max Addresses limit in System (excluding one mac per port) : 1024 SW12#configure terminal Enter configuration commands, one per line.  End with CNTL/Z. SW12(config)#interface fastEthernet 0/17 SW12(config-if)#switchport mode access SW12(config-if)#switchport port-security SW12(config-if)#switchport port-security maximum 1 SW12(config-if)#switchport port-security mac-address sticky SW12(config-if)#switchport port-security violation shutdown SW12(config-if)#^Z 查看有無介面設定Port-Security，可以看到Fa 0/17 設定最多允許一個MAC-Address，已學習到一個，違規的MAC-Addr