网络拓扑图如下：
根据图示连接设备。

在本次试验中，具体端口情况如上图数字标出。

核心交换机（core ）设置为s1或者SW1，汇聚层交换机（access）设置为s2或者SW2。

IP 地址分配：
Router：e0：：f0/1: 接口：Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址：区域网段地址：
PC1：PC2：路由器清空配置命令：
en
erase startup-config
Reload
交换机清空配置命令：
en
erase startup-config
delete
Reload
加速命令：
en
conf t
no ip domain lookup
line con 0
exec-timeout 0 0
logging syn
hostname
一、OFFICE 区域地址静态分配，防止OFFICE 网络发生ARP 攻击，不允许OFFICE 网段PC 互访；STUDENTS 区域主机输入正确的学号和密码后接入网络，自动获取地址，阻止STUDENTS网段地址发生ARP攻击；
1、基本配置
SW1的配置：
SW1(config)#vtp domain cisco
然后在pc上进入接口，设置为DHCP获取地址,命令如下：
int f0/1
ip add dhcp
查看结果：
5、Student区域ARP防护：
SW2配置如下：
ip dhcp snooping //开启DHCP侦听
ip dhcp snooping vlan 20
int range f0/1,f0/2
ip dhcp snooping limit rate 5 //限制DHCP请求包数量，此处为5
ip verify source port-security
exit
int port-channel 10
ip dhcp snooping trust //设置信任端口
然后修改pc1的mac地址，就可以发现端口down状态，修改mac地址命令如下：
pc1(config)#int e0/0
pc1(config-if)#mac-address 、AAA认证：
服务器地址为：vlan 30 //创建vlan 30的原因：在sw1、sw2中配置svi口，服务器的地址为，使他们位于同一个网段。

这样pc机发出的认证数据包就会被发往服务器
s1(config-if)#ip add f0/5
s1(config-if)#switchport mode access
s1(config-if)#switchport access vlan 30
s2(config)#int vlan 30
s2(config-if)#ip add new-model //AAA配置位于接入层交换机，所以核心交换机sw1连接服务器的接口不需要配置IP地址
s2(config)#aaa authentication login vtylogin group radius
s2(config)#radius-server host auth-port 1812 acct
s2(config)#$er host auth-port 1812 acct-port 1813 key cisco //cisco为秘钥
s2(config)#line vty 0 4 //用户认证时使用虚拟链路
s2(config-line)#login authentication vtylogin
s2(config-line)#exit
s2(config)#dot1x system-auth-control
s2(config)#int f0/1 //进入端口，把端口配置为认证模式，即只有认证成功端口才会打开
s2(config-if)#authentication port-control auto
s2(config-if)#dot1x pae authenticator
在sw2上验证一些账号密码是否可用，如：123123 与aaa 111，结果如下：
二、在交换机上开启生成树安全机制，接入层交换机不能成为根，接入接口快速收敛；当OFFICE区域接口接入交换机后进入正常的生成树状态。

STUDENTS 区域接口接入交换机后直接down；
1、查看sw1中vlan 10的生成树信息：
把sw2的优先级改为0（即最优先），命令如下：
s2(config)#spanning-tree vlan 10 priority 0
再次查看sw1中vlan 10的生成树信息，可以发现sw1已经不是根了
然后在sw1中配置根防护：
s1(config)#no spanning-tree vlan 1,10,20,30 root primary //设置为主根
s1(config)#int port-channel 10
s1(config-if)#spanning-tree guard root //根防护
可以看到sw1又成为根，并且sw1的根不会被抢占，即使sw2的优先级比较高。

快速端口：
s2(config)#int range f0/1,f0/2
spanning-tree portfast
2、BPDU防护：
s2(config)#int range f0/1,f0/2
s2(config-if-range)#spanning-tree bpduguard enable //交换机guard状态，收到bpdu 数据包端口直接关掉
我们把f0/2接口从pc机中拔出，接入到交换机，会出现以下结果：
三、管理员可以安全管理和监控所有网络设备，并能查看时间可靠的日志信息；
1、telnet防护：
保证telnet协议传输的协议都是密文，即使被获取也无法解密
配置如下:
username cisco password sovand //新建用户名、密码
ip domain name cisco
crypto key generate rsa //导入RSA算法
line vty 0 4
transport input ssh //使用ssh加密
login local //使用本地用户名密码
2、SNMP监控：
SW1配置：
s1(config)#snmp-server host set //日志存储地点
s1(config)#snmp-server community set rw //权限为读写
s1(config)#snmp-server community get ro //权限为只读
SW2配置同上
四、管理员PC监控所有的出口流量，并且限制每个接入层接接口的广播包每秒不得超过100个。

SPAN:
对出口双向流量做映射到f0/4口：
s1(config)#monitor session 1 source int f0/1 both //镜像源端口，即监控端口
s1(config)#monitor session 1 destination int f0/2 //镜像备份端口，即镜像发往目标端口
限制每个接入层接接口的广播包每秒不得超过100个
对接入交换机端口限制广播包数量，超过100个则将接口down掉：
s2(config)#int rangef0/1-4
s2(config-if-range)#storm-control broadcast level pps 100 50 //50是单低于50的时候就恢复s2(config-if-range)#storm-control action shutdown。