客户的需求:企业通过Switch实现各个部门之间的互连,且各个部门加入不同的VLAN。总裁办公室和文件备份服务器采取手工方式分配已经获取到固定IP地址,员工网络通过DHCP方式获取IP地址。由于员工网络拥有访问外网的权利,主机经常会感染ARP病毒,攻击Switch并修改Switch上的动态ARP表项,造成总经理办公室与外界的通信中断以及不能正常访问文件备份服务器。公司希望在Switch上配置静态ARP表项,以保证总经理办公室与外界的通信安全,并保证各个部门能正常访问文件备份服务器。
直接上dis cu后的命令--------
Switch配置文件
#
sysname Switch
#
vlan batch 10 20 30 100 200
#
dhcp enable
#
acl number 2001 //建立基础规则2001
rule 5 deny source 192.168.10.0 0.0.0.255 //禁止服务器上公网
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.1 255.255.255.0
dhcp select interface
dhcp server excluded-ip-address 192.168.2.2 192.168.2.99 //调整DHCP的IP地址池
dhcp server excluded-ip-address 192.168.2.101 192.168.2.254
#
interface Vlanif30
ip address 192.168.3.1 255.255.255.0
#
interface Vlanif100
ip address 192.168.10.1 255.255.255.0
#
interface Vlanif200
ip address 192.168.20.1 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/3 //在G0/0/3端口上应用ACL规则
port link-type access
port default vlan 200
traffic-filter outbound acl 2001
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 20
#
arp static 192.168.1.8 5489-98cb-56cc vid 10 interface GigabitEthernet0/0/1 //ARP静态绑定总经理办公室PC
arp static 192.168.10.10 5489-98da-7202 vid 100 interface GigabitEthernet0/0/2 //ARP静态绑定 文件备份服务器
#
ip route-static 0.0.0.0 0.0.0.0 192.168.20.2 //缺省静态路由
#
Router配置文件
#
interface GigabitEthernet0/0/0
ip address 192.168.20.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 200.0.0.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 //配置缺省路由
ip route-static 192.168.0.0 255.255.0.0 192.168.20.1 //配置回程路由
#
测试结果
1、员工网络DHCP到IP地址不在(192.168.2.2—192.168.2.99)&(192.168.2.101—192.168.2.254)区间内
2、静态ARP表项
3、员工网络能上外网
4、文件备份服务器不能上外网,ping公网失败