Thực hành an ninh mạng 2021

LAB 07
Layer 2 VLAN Security

Giới thiệu bài Lab

Sơ đồ mạng trên đang sử dụng 2 VLAN để hoạt động: VLAN 5 và VLAN 10, tất
cả các trunk port được cấu hình sử dụng VLAN 15 làm native VLAN, sinh viên sẽ thêm
đường kết nối giữa SW-1 và SW-2. Đường link sẽ được thiết lập trunking và các yêu cầu
về bảo mật.

Sinh viên sẽ add PC Management kết nối đến SW-A, PC Management có thể kết
nối quản trị tới tất cả các switch và router, các thiết bị còn lại sẽ không được phép truy
cập vào PC Management và các switch. Đáp ứng yêu cầu trên sinh viên sẽ cấu hình thêm
VLAN 20 sử dụng cho mục đích quản trị.

Các thiết bị đã được cấu hình password:

 Enable password: ciscoenpa55

 Password for console: ciscoconpa55
 Thực hành an ninh mạng 2021

 VTY password: ciscovtypa55

Yêu cầu thực hành

 Thêm đường kết nối giữa SW-1 và SW-2
 Bật trunk và cấu hình bảo mật trên đường trunk giữa SW-1 và SW-2
 Tạo VLAN 20 dùng để quản trị và kết nối PC Management vào VLAN 20
 Tạo ACL chặn các user bên ngoài truy cập vào management VLAN 20

Task 1: Kiểm tra kết nối

Bước 1: Kiểm tra kết nối giữa C2 (Vlan 10) và C3 (Vlan 10)

Bước 2: Kiểm tra kết nối giữa C2 (Vlan 10) và D1 (Vlan 5)

Task 2: Tạo link dự phòng giữa SW-1 và SW-2

Bước 1: Kết nối SW-1 và SW-2

Sử dụng cab chéo để kết nối port Fa0/23 trên SW-1 đến port Fa0/23 trên SW-2

Bước 2: Bật tính năng trunking, thiết lập cơ chế security trên cả 2 port kết nối trunk

Trên cả SW-1 và SW-2 cấu hình:

 Thiết lập trunk port

 Gán native Vlan trên trunk port là Vlan 15
 Tắt auto-negotiation

Task 3: Thiết lập VLAN 20 làm Management VLAN

Network Administrator sẽ sử dụng Management PC để truy cập đến các thiết bị trong sơ
đồ mạng, để bảo mật sinh viên sẽ cấu hình cho các thiết bị quản lý nằm trên VLAN rời.

Bước 1: Tạo management VLAN (VLAN 20) trên SW-A

 Tạo VLAN 20 trên SW-A có tên là VLAN0020

 Tạo interface vlan 20 và đặt địa chỉ thuộc network 192.168.20.0/24

Bước 2: Tạo management VLAN trên các switch còn lại

Bước 3: Cấu hình chon management PC và kết nối vào port Fa0/1 của SW-A
 Thực hành an ninh mạng 2021

 Cấu hình địa chỉa IP cho SW-A thuộc network 192.168.20.0/24

 Kết nối vào port Fa0/1 của SW-A

Bước 4: Trên SW-A, gán interface cho VLAN 20

 Cấu hình port Fa0/1 thuộc VLAN 20

Bước 5: Kiểm tra kết nối giữa Management PC tới các switch

 Cấu hình địa chỉ cho interface vlan 20 trên các switch còn lại
 Trên PC Management ping đến các switch còn lại

Task 4: Cấu hình cho Management PC có thể truy cập vào router
R1
Bước 1: Tạo subinterface mới trên R1

 Tạo subinterface Fa0/0.3

 Gán địa chỉ cho subinterface Fa0/0.3 thuộc network 192.168.20.0/24
 Thiết lập đóng gói dot1Q cho VLAN 20

Bước 2: Kiểm tra kết nối từ Management PC đến R1

 Cài đặt default gateway trên management PC đến R1

Bước 3: Thiết lập security
Tạo ACL chặn các network khác truy cập vào network 192.168.20.0/24, cho phép truy
cập giữa các network còn lại.
 Management PC có thể kết nối đến các switch và router
 Các PC khác không thể kết nối đến các thiết bị nằm trong Management VLAN

Bước 4: Kiểm tra Security

 Ping từ Management PC đến các switch và router

 Ping từ D1 đến Management PC