锐捷实训4-交换机的端口安全
交换机的端口配置实验报告
交换机的端口配置实验报告
进入全局配置模式
5.在全局配置模式下输入interface命令,进入接口配置模式。
7.配置接口的描述和管理状态
8.在特权模式下,关闭一个接口9配置接口的速度,双工,流控
11.显示接口状态
12.显示可交换接口(show interface description)
13.显示指定端口的统计值信息
15.配置网络接口的IP地址
16 show ip interface
通过本次实验学会了一部分锐捷公司交换机的端口的命名规则、类型和种类,它的端口有两部分组成,端口所在的插槽和端口在插槽上的编号。
交换机端口类型有快速以太网端口,千兆以太网端口、聚合端口和。
网络安全(锐捷)
Ip route 0.0.0.0 0.0.0.0 serial 1/2 缺省路由 Interface f 1/0 Ip nat inside Exit Interface serial 1/2 Ip nat outside Exit Ip nat pool to_internet 200.1.8.7 200.1.8.7 netmask 255.255.255.0
172.16.3.1
172.16.4.2
172.16.2.8
2.销售部不能访问财务部
172.16.4.22
要求:1.学生机只能对服务器进行FTP访问,不能访问WWW。 2.教师机均可访问。 交换机的基本配置: Vlan 10 Name server Ip add 192.168.10.1 255.255.255.0 No shutdown Vlan 20 Name teachers Ip add 192.168.20.1 255.255.255.0 No shutdown Vlan 30 Name students Ip add 192.168.30.1 255.255.255.0 No shutdown 学生机 Vlan 324
外网
172.16.1.2/24
FTP 服 务 63.19.6.3/24
器
R1路由器配置: Hostname lan-router Interface f 1/0 Ip add 172.16.1.1 255.255.255.0 No shutdown exit Interface serial 1/2 Ip add 200.1.8.7 255.255.255.0 No shutdown exit
基于时间的访问控制列表 实验
Access-list 100 permit ip any any time-range free 160.16.1.0/24 F1/2 Server机
交换机端口安全portsecurity超级详解
交换机端口安全Port-Security超级详解交换安全交换机端口安全Port-Security超级详解一、Port-Security概述在部署园区网的时候,对于交换机,我们往往有如下几种特殊的需求:限制交换机每个端口下接入主机的数量MAC地址数量限定交换机端口下所连接的主机根据IP或MAC地址进行过滤当出现违例时间的时候能够检测到,并可采取惩罚措施上述需求,可通过交换机的Port-Security功能来实现:二、理解Port-Security安全地址:secure MAC address在接口上激活Port-Security后,该接口就具有了一定的安全功能,例如能够限制接口所连接的的最大MAC数量,从而限制接入的主机用户;或者限定接口所连接的特定MAC,从而实现接入用户的限制;那么要执行过滤或者限制动作,就需要有依据,这个依据就是安全地址– secure MAC address;安全地址表项可以通过让使用端口动态学习到的MACSecureDynamic,或者是手工在接口下进行配置SecureConfigured,以及sticy MAC addressSecureSticky 三种方式进行配置;当我们将接口允许的MAC地址数量设置为1并且为接口设置一个安全地址,那么这个接口将只为该MAC所属的PC服务,也就是源为该MAC的数据帧能够进入该接口;2.当以下情况发生时,激活惩罚violation:当一个激活了Port-Security的接口上,MAC地址数量已经达到了配置的最大安全地址数量,并且又收到了一个新的数据帧,而这个数据帧的源MAC并不在这些安全地址中,那么启动惩罚措施当在一个Port-Security接口上配置了某个安全地址,而这个安全地址的MAC又企图在同VLAN的另一个Port-Security接口上接入时,启动惩罚措施当设置了Port-Security接口的最大允许MAC的数量后,接口关联的安全地址表项可以通过如下方式获取:在接口下使用switchport port-security mac-address 来配置静态安全地址表项使用接口动态学习到的MAC来构成安全地址表项一部分静态配置,一部分动态学习当接口出现up/down,则所有动态学习的MAC安全地址表项将清空;而静态配置的安全地址表项依然保留;与Sticky MAC地址上面我们说了,通过接口动态学习的MAC地址构成的安全地址表项,在接口出现up/down后,将会丢失这些通过动态学习到的MAC构成的安全地址表项,但是所有的接口都用switchport port-security mac-address手工来配置,工作量又太大;因此这个sticky mac 地址,可以让我们将这些动态学习到的MAC变成“粘滞状态”,可以简单的理解为,我先动态的学,学到之后我再将你粘起来,形成一条”静态“ 实际上是SecureSticky的表项;在up/down现象出现后仍能保存;而在使用wr后,这些sticky安全地址将被写入start-up config,即使设备重启也不会被丢失;三、默认的Port-Security配置Port-Security 默认关闭默认最大允许的安全MAC地址数量 1惩罚模式 shutdown进入err-disable状态,同时发送一个SNMP trap四、Port-Security的部署注意事项配置步骤a 在接口上激活Port-SecurityPort-Security开启后,相关参数都有默认配置,需关注b 配置每个接口的安全地址Secure MAC Address可通过交换机动态学习、手工配置、以及stciky等方式创建安全地址c 配置Port-Security惩罚机制默认为shutdown,可选的还有protect、restrictd 可选配置安全地址老化时间2.关于被惩罚后进入err-disable的恢复:如果一个psec端口由于被惩罚进入了err-disable,可以使用如下方法来恢复接口的状态:使用全局配置命令:err-disable recovery psecure-violation手工将特定的端口shutdown再noshutdown3.清除接口上动态学习到的安全地址表项使用clear port-security dynamic命令,将清除所有port-security接口上通过动态学习到的安全地址表项使用clear port-security sticky 命令,将清除所有sticky安全地址表项使用clear port-security configured命令,将清除所有手工配置的安全地址表项使用clear port-security all命令,将清除所有安全地址表项使用show port-security address来查看每个port-security接口下的安全地址表项4.关于sticky安全地址Sticky安全地址,是允许我们将Port-Security接口通过动态学习到的MAC地址变成“粘滞”的安全地址,从而不会由于接口的up/down丢失;然而如果我们希望在设备重启之后,这个sticky的安全地址表项仍然存在,那么就需要wr一下;将配置写入start-up config 文件;Sticky安全地址也是一个简化我们管理员操作的一个很好的工具,毕竟现在不用再一条条的手工去绑了;支持private vlan支持 tunnel接口不支持SPAN的目的接口不支持etherchannel的port-channel接口9.在CISCO IOS 33SXH 以及后续的版本,我们可以将port-security及部署在同一个接口上;而在此之前的软件版本:如果你试图在一个port-security接口上激活则会报错,并且功能无法开启如果你试图在一个接口上激活port-security则也会报错,并且port-security特性无法开启支持nonegotiating trunk 接口Port-Security 支持在如下配置的trunk上激活switchportswitchport trunk encapsulationswitchport mode truknswitchport nonegotiateIf you reconfigure a secure access port as a trunk, port security converts all the sticky and static secure addresses on that port that were dynamicallylearned in the access VLAN to sticky or static secure addresses on the native VLAN of the trunk. Port security removes all secure addresses on the voice VLAN of the access port.If you reconfigure a secure trunk as an access port, port security converts all sticky and static addresses learned on the native VLAN to addresses learned on the access VLAN of the access port. Port security removes all addresses learned on VLANs other than the native VLAN.links和Port-Security互不兼容五、Port-security的配置1.激活Port-Security在access接口上Switchconfig interface fast0/1Switchconfig-if switchportSwitchconfig-if switchport mode accessSwitchconfig-if switchport access vlan 10Switchconfig-if switchport port-security接口的Port-Security特性一旦激活后,默认的最大安全地址个数为1,也就是说,在不进行手工配置安全地址的情况下,这个接口将使用其动态学习到的MAC作为安全地址,并且,这个接口相当于被该MAC所属的设备独占;而且默认的violation是shutdownSW1show port-security interface f0/1Port Security : EnabledPort Status : Secure-up 接口目前的状态是up的Violation Mode : Shutdown 违例后的惩罚措施,默认为shutdownAging Time : 0 minsAging Type : AbsoluteSecureStatic Address Aging : DisabledMaximum MAC Addresses : 1 最大安全地址个数,默认为1Total MAC Addresses : 0Configured MAC Addresses : 0 手工静态配置的安全MAC地址,这里没配Sticky MAC Addresses : 0 sticky的安全地址,这里没有Last Source Address:Vlan : 最近的一个安全地址+vlanSecurity Violation Count : 0 该接口历史上出现过的违例次数这个时候,如果另一台PC接入到这个端口上,那么该port-security接口将会收到一个新的、非安全地址表项中的MAC地址的数据帧,于是触发的违例动作,给接口将被err-disable掉;同时产生一个snmp trap消息,另外,接口下,Security Violation Count将会加12.激活Port-Security在trunk接口上3. Port-Security violation惩罚措施默认的violation是shutdown;如果是protect,那么惩罚就会温柔些,对于非法的数据帧例如数据帧的源MAC不在安全地址表项中的、且安全地址已经达到最大数,这些非法数据将仅仅被丢弃,合法数据照常转发,同时不会触发一个syslog消息,另外接口下的“Security Violation Count”也不会加1;而如果是restrict,那么非法数据被丢弃,同时触发一个syslog消息,再者,Security Violation Count加1,合法的数据照常转发;4. 配置Port Security Rate Limiter注意,在6509交换机,truncated switching模式下不支持该功能在交换机接口上开启Port-Security是会耗费资源的,Port-Security会检测每一个进入接口的数据帧,以判断流量是否合法,或者是否存在违例行为;当一个安全接口设置的violation为shutdown的时候,该接口在违例后触发惩罚机制,进入err-diasble状态,这样可以有效的方式有效的防止交换机由于处理违例事件导致交换机的CPU利用率过高;然而protect和restict的惩罚措施,则不会将端口关闭,端口依然可用,那么这就可能导致在违例事件发生的情况下交换机的CPU利用率飙高例如大量的非法数据涌入;因此当使用protect和restrict这两种违例惩罚措施事,可以通过Port-Secuirty rate limiter来防止CPU飙高;Switchconfig mls rate-limite layer2 port-security rate_in_pps burst_size关于rate_in_pps参数:范围是10- 1000000没有默认值值设置的越低,对CPU的保护程度就越高,这个值对惩罚措施发生前、后都生效,当然这个值也不能设置的过低,至少要保障合法流量被处理吧;一般低于1000就差不多;关于burst-size参数:范围是1-255默认是10,这个默认值一般就够用了;5. 配置Port-Security 最大允许的安全地址数量最大安全地址数量,不同的软件平台允许的上限值有所不同,但是默认都是1;在trunk口上,前面说了,也是可以激活port-security的,而在trunk口上配置最大安全地址数量,可以基于接口配置对所有VLAN生效,也可以基于VLAN进行配置;如下:switchport port-security maximum 1switchport port-security maximum 1 vlan 10,20,30 可以关联多个VLAN6. 在port-security接口上手工配置安全地址上述配置中,最大安全地址数设置为3,然后使用手工配置了一个安全地址,那么剩下2个,交换机可以通过动态学习的方式来构建安全地址;在trunk接口上手工配置安全地址,可关联vlan关键字;如果在trunk接口上手工配置安全地址,没有关联vlan关键字,那么该安全地址将被关联到trunk的native vlan上7. 在port-security接口上使用sticky MAC地址我们知道,构成安全地址表项的方式有好几种,其中一种是使用switchport port-security mac 来手工配置,但是这种方式耗时耗力,更需要去PC上抄MAC,工作成本比较高;而另一种构成安全地址的方式是让交换机使用动态学习到的MAC,然而这些安全地址在接口一旦up/down后,将丢失,更别说重启设备了;因此可以使用sticky mac的方式,这种方式激活后,交换机将动态学习到的MAC“粘起来”,具体的动作很简单,就是在动态学习到MAC例如一个后,如果我激活了sticiky MAC address,则在接口下自动产生一条命令:interface FastEthernet0/1switchport access vlan 10switchport mode accessswitchport port-securityswitchport port-security mac-address stickyswitchport port-security mac-address sticky 自动产生这样形成的安全地址表项是SecureSticky的,即使在接口翻动,也不会丢失;在者如果wr保存配置,命令写入,那么设备即使重启,安全地址也不会丢失;当在接口上激活了port-security mac-address sticky,那么:该接口上所有通过动态学习到的MAC,将被转成sticky mac address从而形成安全地址接口上的静态手工配置的安全地址不会被转成sticky mac address通过voice vlan动态学习到的安全地址不会被转成sticky mac address命令配置后,新学习到的MAC地址,也是sticky的当此时又敲入no port-secuirty mac-address sticiky ,则所有的sticky安全地址条目都变成动态的安全地址条目SecureDynamic8. 配置安全地址老化时间配置的命令比较简单:Switchconfig-if switchport port-security aging type {absolute | inactivity}配置老化时间的类型,如果选择absolute,也就是绝对时间,需要搭配aging time命令设定老化时间的具体值,命令一旦敲下去后,所有的通过动态学习的MAC构建的安全地址表项将开始以aging time倒计时;如果是inactivity关键字,则只在该动态安全地址表项不活跃的时候譬如主机离线了或者挂掉了才开始倒计时;Switchconfig-if switchport port-security aging time设定老化时间Switchconfig-if switchport port-security aging static使用前面两条命令,老化时间是不会影响那些使用静态手工配置的安全地址表项的,当然sticky表项也不会受影响,这些表项都是永不老化的,但是如果搭配上上面这条命令,则手工配置的安全地址表项也受限于老化时间了;不过对于sticky表项,则始终不会激活aging time,它是不会老化的;示例1:将安全地址老化时间设置为50min;针对动态学习到的MAC构成的安全地址有效50min是一个绝对时间,配置完成后开始倒计时,无论该MAC是否依然活跃,都始终进行倒计时示例2:针对动态学习到的MAC构成的安全地址有效,如果该MAC在50min内一直处于失效状态例如主机离线了,那么该安全地址在aging time超时后被清除示例3:注意,上述两种配置方式,对手工配置switchport port-security mac-address 的安全地址无效;也就是采用上述方法配置的静态安全地址表项永不超时;如果增加switchport port-security aging static命令,则手工静态配置的安全地址也的aging time也开始计时注意,对于sticky mac address,安全地址的老化时间无效。
锐捷交换机基于端口的安全控制
配置安全端口及违例处理方式
从特权模式开始,你可以通过以下步骤来配置一个安全端口和违例处理方式:
步骤1 步骤2 步骤3
步骤4 步骤5
步骤6
命令 configure terminal interface interface-id switchport mode access
128 无 保护(protect)
配置端口安全的限制
配置端口安全时有如下一些限制:
一个安全端口不能是一个aggregate port。 一个安全端口不能是SPAN的目的端口。 一个安全端口只能是一个access port。 一个千兆接口上最多支持120个同时申明IP地址和MAC地址的安全地址。另外,由于这种同时申明I P地址和MAC地址的安全地址占用的硬件资源与ACLs、802.1x认证功能所占用的系统硬件资源共享 ,因此当您在某一个端口上应用了ACLs或者您使能了802.1x认证功能,则相应地该端口上所能设置 的申明IP地址的安全地址个数将会减少。
Switch# configure terminal Switch(config)# interface fastethernet 0/3 Switch(config-if)# storm-control level 10 Switch(config-if)# storm-control multicast Switch(config-if)# end
含义 进入全局配置模式。 指明一个接口,并进入接口 配置模式。 将该接口设置为保护口 退回到特权模式。 验证配置 保存配置。
您可以通过命令 no switchport protected接口配置命令将一个端口重新设置为非保护口。
端口安全
本节包括以下内容: 概述 配置端口安全 查看端口安全信息
职业认证-锐捷认证-端口安全概述
Ruijie(config-FastEthernet 0/1)#switchport port-security ---端口保护功能应用生效
5|
端口安全配置检查
查看接入交换机绑定的安全表项
Ruijie#show port-security address
Vlan Mac Address (mins)
另外,还可以设定端口安全地址绑定IP+MAC,或 者仅绑定IP,用来限制必须符合绑定的以端口安全地址 为源MAC地址的报文才能进入交换机通信。
3|
端口安全配置
• 应用场景
– 客户网络需要针对某端口下只允许某些合法用户接入。需要通过端口安全绑定功能合 法用户表项,控制非法用户接入。同全局地址绑定功能不同的是端口安全是基于端口 进行地址绑定,控制合法用户接入网络的场景需求。
• ARP-CHECK支持的安全功能模块包含: ➢仅检测 IP 字段:端口安全的仅 IP 模式,Ip Source Guard 手工配置 的仅 IP 模式 ➢检测 IP+MAC 字段:端口安全的 IP+MAC 绑定模式,全局 IP+MAC 绑定功能,802.1x IP授权功能,Ip Source Guard 功能
端口安全规则 MAC最大数量 MAC绑定 MAC+VLAN绑定
IP绑定 IP+MAC+VLAN绑定
7|
处理规则
如果MAC最大数量>MAC绑定:自动学 习“MAC最大数量-MAC绑定”个MAC 作为IP/MAC过滤项 如果MAC最大数量=MAC绑定:只有被 绑定的MAC才能合法接入网络
---------- ---------------------
Fa0/1
交换机端口安全设置
交换机配置1.LED 和MODE按钮交换机机箱前面有很多LED,可以使用他们监视交换机的活动和性能。
交换机箱的左上角是system LED 和记住,如果system LED 是琥珀色,则交换机出现了故障。
MODE LED 显示的含义如下Mode 按钮按一次,则MODE LED 将从STA T变为DUPLX(双工或者全双工),在按一次MODE LED将从DUPLX变成SPEED(10M、1000 M 1000 M),在按一次MODE 就会返回到STA T模式。
注意:如果没有通过交换机建立连接并且交换机端口LED都是熄灭异常颜色的,请确保交换机已加电。
将电缆连接器重新插入端口。
还要检查电缆,请确保他们的类型正确:直通电缆和交叉电缆。
2.交换机启动1). 用翻转电缆线插入交换机控制台端口中,另外一段连接到计算机COM口上,通电之后交换机会验证闪存,然后找到IOS,解压并加载它,随后运行POST来验证各种交换机组件运行正常,post执行通过IOS 继续执行。
一旦完全加载IOS,就会找配置文件并将它应用于交换机,然后出现用户EXEC提示符。
2).系统配置会话如果系统没有找到配置文件,IOS将运行脚本,通常称为系统配置会话(setup),可以配置交换机的名称,设置EXEC特权密码,为虚拟类终端(VTY)分配密码,为VLAN接口设置IP地址,以便于远程管理。
3.基本交换机配置1).IP地址和默认网关如果想远程管理第二层交换机,则需要为其分配IP寻址信息。
配置IP地址和网关Switch (config) # interface vlan1Switch(config-if)#ip address 192.168.1.2 255.255.255.0Switch(config-if)#exitSwitch(config)#ip default-gateway 192.168.1.1然后在show running-config。
交换机端口安全
在日常工作中,笔者发现不少网络管理员对于交换机端口的安全性不怎么重视。这是他们网络安全管理中的一个盲区。他们对此有一个错误的认识。以为交换机锁在机房里,不会出大问题。或者说,只是将网络安全的重点放在防火墙等软件上,而忽略了交换机端口等硬件的安全。这是非常致命的。
三是对可以介接入的设备进行限制。出于客户端性能的考虑,我们往往需要限制某个交换机端口可以连接的最多的主机数量。如我们可以将这个参数设置为1,那么就只允许一台主机连接到交换机的端口中。如此的话,就可以避免用户私自使用集线器或者交换机等设备拉增加端口的数量。不过这种策略跟上面的MAC地址策略还是有一定的区别。MAC地址安全策略的话,也只有一台主机可以连接到端口上。不过还必须是MAC地址匹配的主机才能够进行连接。而现在这个数量的限制策略,没有MAC地址匹配的要求。也就是说,更换一台主机后,仍然可以正常连接到交换机的端口上。这个限制措施显然比上面这个措施要宽松不少。不过工作量上也会减少不少。要实现这个策略的话,可以通过命令swichport-security maximun来实现。如故将这个参数设置为1,那么就只允许一台主机连接到交换机的端口之上。这就可以变相的限制介入交换机或者集线器等设备。不过这里需要注意的是,如果用户违反了这种情况,那么交换机的端口就会被关闭掉。也就是说,一台主机都连接不到这个端口上。在实际工作中,这可能会殃及无辜。所以需要特别的注意。
一、常见安全威胁
在企业中,威胁交换机端口的行为比较多,总结一下有如下几种情况。
实训名称:交换机的端口安全
实训名称:交换机的端口安全
一、实训原理
1、交换机安全防御
二、实训目的
1、对交换机各个端口的进行安全配置
三、实训内容
对交换机所有接口开启端口安全保护
F0/1接口最大数连接数为10
其它接口都为1
如果违规直接关闭端口
F0/3接口绑定PC2的mac地址
四、实训步骤:
1、F0/1接口
2、配置其它所有接口
3、在F0/3接口上绑定PC2的mac地址
拓扑图
具体步骤:
F0/1接口
En
Conf
int f0/1
switchport mode access
switchport port-security
switchport port-security maximum 10
switchport port-security violation shut
配置其它所有接口
int range f0/2-24
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security violation shut
在F0/3接口上绑定PC2的mac地址
int f0/3
switchport port-security mac-address 0090.0C90.9A47
五、实训结果
1、在特权模式下,使用show port-security命令查看所有配置端口的安全情况
mac地址。
锐捷交换机配置指南-安全说明书
配置指南-安全本分册介绍安全配置指南相关内容,包括以下章节:1. AAA2. RADIUS3. TACACS+4. 802.1x5. Web认证6. SCC7. 全局IP+MAC绑定8. PASSWORD-POLICY9. 端口安全10. STORM CONTROL11. SSH12. URPF13. CPP14. DHCP Snooping15. DHCPv6 Snooping16. ND Snooping17. ARP Check18. DAI19. IP Source Guard20. IPv6 Source Guard21. SAVI22. 防网关ARP欺骗23. NFPP24. DoS保护25. Snooping跨设备同步1 AAA1.1 概述AAA是Authentication Authorization and Accounting(认证、授权和记账)的简称,它提供了对认证、授权和记账功能进行配置的一致性框架,锐捷网络设备产品支持使用AAA。
AAA以模块方式提供以下服务:认证:验证用户是否可获得访问权,可选择使用RADIUS协议、TACACS+协议或Local(本地)等。
身份认证是在允许用户访问网络和网络服务之前对其身份进行识别的一种方法。
授权:授权用户可使用哪些服务。
AAA授权通过定义一系列的属性对来实现,这些属性对描述了用户被授权执行的操作。
这些属性对可以存放在网络设备上,也可以远程存放在安全服务器上。
记账:记录用户使用网络资源的情况。
当AAA记账被启用时,网络设备便开始以统计记录的方式向安全服务器发送用户使用网络资源的情况。
每个记账记录都是以属性对的方式组成,并存放在安全服务器上,这些记录可以通过专门软件进行读取分析,从而实现对用户使用网络资源的情况进行记账、统计、跟踪。
尽管AAA是最主要的访问控制方法,锐捷产品同时也提供了在AAA范围之外的简单控制访问,如本地用户名身份认证、线路密码身份认证等。
锐捷实训4-交换机的端口安全
实训4 交换机的端口安全【实训目的】(1)掌握交换机端口安全功能,控制用户的安全接入(2)掌握交换机的端口配置的连接数(3)掌握如何针对PC1主机的接口进行IP+MAC地址绑定【实训技术原理】交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入;交换机端口安全主要有两种类型:一是限制交换机端口的最大连接数;二是针对交换机端口进行MAC地址、IP地址的绑定;配置交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种:(1)protect 当安全地址个数满后,安全端口将丢弃未知地址的包;(2)restrict当违例产生时,将发送一个trap通知;(3)shutdown当违例产生时,将关闭端口并发送一个trap通知;当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来;【实训背景描述】你是一个公司的网络管理员,公司要求对网络进行严格控制。
为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。
为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。
例如:某员工分配的IP地址是172.16.1.23/24,主机MAC地址是0019.2147.10F9。
该主机连接在1台2126G上。
【实训设备】S2126G(1台),PC(2台)、直连线(2条)【实训内容】(1)按照拓扑进行网络连接(2)配置交换机端口最大连接数限制(3)配置交换机端口地址绑定【实训拓扑图】【实训步骤】(1)配置交换机端口的最大连接数限制S w i t c h#c o n f i g u r e t e r m i n a lS w i t c h(c o n f i g)#i n t e r f a c e r a n g e f a s t e t h e r n e t0/1-23!打开交换机1-23端口S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y!开启1-23安全端口功能S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y m a x i m u m1!开启端口的最大连接数为1S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y v i o l a t i o ns h u t d o w n!配置安全违例的处理方式s h u t d o w n(2)验证测试:查看交换机的端口安全配置S w i t c h#s h o w p o r t-s e c u r i t y(3)配置交换机端口的地址绑定①查看主机的I P和M A C地址信息。
锐捷网络设备实训指导书
《网络设备安装与调试》实训指导书河津市职业中学目录实验一实验室设备基本配置使用方法.............. 错误!未定义书签。
实验二交换机端口隔离......................... 错误!未定义书签。
实验三跨交换机实现VLAN ....................... 错误!未定义书签。
实验四路由器静态路由的配置................. 错误!未定义书签。
实验五路由器动态路由协议RIP的配置............. 错误!未定义书签。
实验六路由器动态路由协议OSPF单区域的配置...... 错误!未定义书签。
实验一:实验室设备基本配置使用方法[实验目的] 了解网络实验室布局及网络拓扑图,认识交换机与路由器等网络核心设备的拓扑结构;学习交换机与路由器的初始化配置命令。
[实验内容](1)RCMS配置使用方法(2)锐捷网络设备基本配置[实验步骤]一、RCMS配置使用方法(1)什么是RCMSRG-RCMS:RACK Control & Management Server,实验室机架控制和管理服务器。
统一管理和控制实验台上的多台网络设备无需拔插控制台线,便可以实现同时管理和控制多台网络设备。
提供“一键清”功能,一键清除实验台上网络设备的配置,方便多次实验Web 图形界面,简单方便(2)RCMS工作原理RCMS实验室管理是基于Reverse Telnet的服务,RGNOS提供基于Reverse Telnet的RCMS实验室管理。
实验室的使用者可以先登录到RCMS上,在RCMS上再反向TELNET到各个网络设备上,这样便可以在PC上多次TELNET的方法,实现同时操作多台网络设备的目的,并且不需要同时对网络设备进行线缆的拔插的目的。
RCMS服务器同时提供一个Web页面来集中控制可使用Reverse Telnet访问的网络设备。
在浏览器的地址栏上,输入RCMS服务器的地址,并且指定访问的端口为8080,则可以访问RCMS主实验台访问地址备注RCMS-1第一组学生只能访问此RCMSRCMS-2第二组学生只能访问此RCMSRCMS-3第三组学生只能访问此RCMS.....在主页上,列出了RCMS上所有的异步线路,及其所连接的网络设备。
实训一 交换机端口安全
实训一交换机端口安全1、二层交换机端口安全结论:离接入层越近风险越大,所以问题主要集中在接入层。
交换机主要面临4种攻击:MAC layer attacksVLAN attacksSpoofing attacksAttacks on switch devices问题:如何防范这些攻击?Cisco交换机上配置端口安全性的方法:静态安全MAC地址:静态MAC地址是使用switchport port-securitymac-address mac-address接口配置命令手动配置的。
以此方法配置的MAC地址存储在地址表中,并添加到交换机的运行配置中。
动态安全MAC地址:动态MAC地址是动态获取的,并且仅存储在地址表中。
以此方式配置的MAC地址在交换机重新启动时将被移除。
粘滞安全MAC地址:可以将端口配置为动态获得MAC地址,然后将这些MAC地址保存到运行配置中。
Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security mac-address 0090.2B1A.D48ESwitch(config-if)#switchport port-security violation ?protect Security violation protect mode (不转发数据)restrict Security violation restrict mode (不转发数据,上报网管平台)shutdown Security violation shutdown mode (关闭接口,并上报网管平台)Switch(config-if)#switchport port-security violation shutdown验证:查看交换机mac地址表:Switch#show mac-address-table查看端口安全的,以及每一个端口违反我们策略数Switch#show port-security绑定多个MAC地址:Switch(config-if)#switchport port-security maximum ?<1-132> Maximum addressesSwitch(config-if)#switchport port-security maximum 2Switch(config-if)#switchport port-security mac-address 0009.7C65.1749Switch#show mac-address-table查看交换机mac地址表:Switch#show mac-address-table查看端口安全的,以及每一个端口违反我们策略数Switch#show port-security思考:若在PC0和交换机中间加入一台交换机或一台集线器,会发生什么问题?PC0和PC1之间,PC0和PC3之间可以相互通信吗?答:PC0和PC1之间不可以相互通信;PC0和PC3之间可以相互通信。
实训4-1:交换机的端口安全配置
SW(config)#inter f0/2 SW(config-if)#switchport port-security macaddress 000C.29FE.6CE5 ip-address 192.168.1.2 SW(config-if)#end SW#show port-security address Vlan Mac Address IP Address Type Port Remaining Age(mins) ---- -------------------------- -------------- ---------------
9.实训完成
9.实训完成
ห้องสมุดไป่ตู้
【注意事项】 交换机端口安全功能只能在ACCESS接口进行配置,不能
对于trunk接口进行配置。 交换机最大连接数限制取值范围是1~128,默认是128。 交换机最大连接数限制默认的处理方式是protect。
SW(config)
8.恢复关闭的端口
#Apr 23 18:12:35 %PORT_SECURITY-2PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0021.977e.fdef on port FastEthernet 0/3.
5.在PC1、PC2上相互ping对方
6.在F0/3接口上做MAC地址绑定
6.在F0/3接口上做MAC地址绑定
SW(config)#inter f0/3 SW(config-if)#switchport port-security macaddress 0015.a66e.e5d7 SW(config-if)#
交换机端口安全PPT教案
给管理主机。
第8页/共17页
相关知识---端口安全配置
例如:设置端口安全违例处理方式为shutdown Switchport port-security violation shutdown 例如:设置端口安全违例处理方式为Protect Switchport port-security violation Protect
第9页/共17页
相关知识---端口安全配置
⑤显示系统中的所有安全地址 show port-security address
第10页/共17页
相关知识---端口安全配置
⑥显示的是安全端口的统计信息
第11页/共17页
配置实例
MAC:1111.1111.1111 PC1
f0/1 SA
在交换机SA的F0/1端口上配置端口 安全,要求最大安全数为1,并只 允许PC1接入,设置违例方式为 shutdown。
PC1 PC2
第3页/共17页
相关知识---端口安全配置
(1)配置步骤 ①进入接口模式 ②设置接口为ACCESS(默认,可省略) ③开启端口安全功能 ④设置安全地址或最大数量 ⑤设置违例方式
第4页/共17页
相关知识---端口安全配置
(2)配置命令 ①开启端口安全功能 Switchport port-security
交换机端口安全
会计学
1
相关知识--- 端口安全概述
端口安全(Port Security)是一种对网络接入进行 控制的安全机制,是对已有的802.1X(二层协议)认证 和MAC地址认证的扩充。 (1)端口安全作用
●防止非授权设备访问连接网络; ●控制接口合法接入设备数量; ●对非法的MAC地址和不符合接入数量的设备可以
1-4-1 端口安全
《网络系统集成实训》指导书 网络系统集成实训》指导书1-4-1 MAC 地址及端口绑定设置 地址及端口绑定设置【实训目的】 实训目的】 1.学习交换机端口安全的概念 2.熟练掌握 IP 绑定和 MAC 地址绑定的配置 3. 了解并掌握接口风暴的原理与控制技术 4. 熟练掌握预防 DoS 攻击的入口过滤配置 5. 熟练掌握防范扫描攻击系统的保护配置 参考资料】 【参考资料】 1. 胡友彬,陈俊华. 网络工程设计与实验教程, 电子工业出版社,2010 2. 锐捷 S3550 配置手册 实训内容】 【实训内容】 1.MAC 地址绑定 . Switch(config)#interface fastethernet port-id Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx 2.删除 MAC 地址绑定 . Switch(config-if)#no switchport port-security mac-address xxxx.xxxx.xxxx 3.显示 MAC 绑定信息 . Switch#show port-security 4. 举例 使用一台两层交换机,分别连接多台 PC,PC 的 IP 地址设置为同一网段。
在某端口配 置 MAC 绑定,使得仅有指定的 MAC 地址才能够通过该端口Switch1> enable Switch1# configure terminal Switch1(config)# interface fastethernet 0/1 Switch1(config-if)# switchport access Switch1(config-if)# switchport port-security Switch1(config-if)# switchport port-security mac-address xxxx.xxxx.xxxx Switch1(config-if)# end【实训任务】 实训任务】 任务 1. 完成以上示例,更改绑定端口上的不同 PC,测试连接情况。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实训4 交换机的端口安全
【实训目的】
(1)掌握交换机端口安全功能,控制用户的安全接入
(2)掌握交换机的端口配置的连接数
(3)掌握如何针对PC1主机的接口进行IP+MAC地址绑定
【实训技术原理】
交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入;交换机端口安全主要有两种类型:一是限制交换机端口的最大连接数;二是针对交换机端口进行MAC地址、IP地址的绑定;
配置交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种:
(1)protect 当安全地址个数满后,安全端口将丢弃未知地址的包;
(2)restrict当违例产生时,将发送一个trap通知;
(3)shutdown当违例产生时,将关闭端口并发送一个trap通知;
当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来;
【实训背景描述】
你是一个公司的网络管理员,公司要求对网络进行严格控制。
为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。
为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。
例如:某员工分配的IP地址是172.16.1.23/24,主机MAC地址是0019.2147.10F9。
该主机连接在1台2126G上。
【实训设备】
S2126G(1台),PC(2台)、直连线(2条)
【实训内容】
(1)按照拓扑进行网络连接
(2)配置交换机端口最大连接数限制
(3)配置交换机端口地址绑定
【实训拓扑图】
【实训步骤】
(1)配置交换机端口的最大连接数限制
S w i t c h#c o n f i g u r e t e r m i n a l
S w i t c h(c o n f i g)#i n t e r f a c e r a n g e f a s t e t h e r n e t0/1-23!打开交换机1-23端口
S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y!开启1-23安全端口功能
S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y m a x i m u m1!开启端口的最大连接数为1
S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y v i o l a t i o n
s h u t d o w n!配置安全违例的处理方式s h u t d o w n
(2)验证测试:查看交换机的端口安全配置
S w i t c h#s h o w p o r t-s e c u r i t y
(3)配置交换机端口的地址绑定
①查看主机的I P和M A C地址信息。
在P C1主机上打开C M D命令提示符窗口,执行I p c i n f i g/A l l命令,查看测试计算机P C1的I P和M A C地址信息,如图:
②配置交换机端口的地址绑定
S w i t c h#c o n f i g u r e t e r m i n a l
S w i t c h(c o n f i g)#i n t e r f a c e f a s t e t h e r n e t0/3
S w i t c h(c o n f i g-i f)#s w i t c h p o r t p o r t-s e c u r i t y
S w i t c h(c o n f i g-i f)#s w i t c h p o r t p o r t-s e c u r i t y m a c-a d d r e s s 0019.2147.10F9I p-a d d r e s s172.16.1.23!配置地址绑定
③查看地址绑定配置
S w i t c h#s h o w p o r t-s e c u r i t y a d d r e s s
【实训测试】
在特权模式开始,可以通过下面的命令,查看端口安全的信息,测试刚才为交换机配置的安全项目内容:
查看接口的端口安全配置信息:s h o w p o r t-s e c u r i t y i n t e r f a c e F a0/1
查看安全地址信息:s h o w p o r t-s e c u r i t y a d d r e s s
显示某个接口上的安全地址信息:S h o w p o r t-s e c u r i t y i n t e r f a c e F a0/1 a d d r e s s
显示所有安全端口的统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等:S h o w p o r t-s e c u r i t y
【实验问题】
(1)交换机端口安全功能有哪些?
(2)对交换机的端口配置最大连接数是多少?
(3)交换机端口安全功能只能在哪个接口进行配置?
(4)交换机最大连接数限制默认的处理方式是什么?
【实训注意事项】
(1)锐捷交换机安全功能只能在A C C E S S接口进行配置;
(2)锐捷交换机最大连接数限制取值范围是1~128,默认是128;
(3)锐捷交换机最大连接数限制默认的处理方式是p r o t e c t;
【实训报告】
(1)实验目的。
(2)实验环境。
(3)操作步骤。
(4)遇到的问题和解决方法。
(5)简答上述思考题。
(6)实训心得和体会。
(7)对本实验的建议或疑问。
欢迎您的下载,
资料仅供参考!
致力为企业和个人提供合同协议,策划案计划书,学习资料等等
打造全网一站式需求。