Cisco 交换机端口安全
交换机安全特性
Cisco交换机的安全特性一、端口安全二、AAA服务认证三、DHCP欺骗四、IP Source Guard五、ARP六、DAI的介绍七、SSH认证八、VTY线路出入站的ACL九、HTTP server十、ACL功能十一、PVLAN一、端口安全:A、通过端口安全特性可以检查连接交换机的MAC地址的真实性。
管理员可以通过这个特性将固定的MAC地址写在交换机中。
B、配置顺序:1)启动端口安全程序,2)配置有效的MAC地址学习上线,3)配置静态有效MAC地址(动态学习不需要配置),4)配置违反安全规定的处理方法(方法有三种:shut down直接关闭端口,需要后期由管理员手工恢复端口状态;protect过滤掉不符合安全配置的MAC地址;restrict过滤掉非安全地址后启动计时器,记录单位时间内非安全地址的连接次数),5)配置安全地址的有效时间(静态配置的地址永远生效,而动态学习的地址则需要配置有效时间)。
C、配置实例:D、当管理员需要静态配置安全MAC地址,而又不知道具体MAC地址时,可通过sticky特性实现需求。
命令如下:switchport port-security mac-address stickysticky特性会将动态学习到的MAC地址自动配置为静态安全地址。
且该条目可以在show run中看到(记得保存配置)。
E、校验命令:show port-security [interface interface-id] [address]具体端口明细信息show port-security显示端口安全信息show port-security address显示安全地址及学习类型二、AAA认证1、AAA:A、Authentication 身份认证:校验身份B、Authorization 授权:赋予访问者不同的权限C、Accounting 日志:记录用户访问操作2、AAA服务认证的三要素:AAA服务器、各种网络设备、客户端客户端:AAA服务中的被管理者各种网络设备:AAA服务器的前端代理者AAA服务器:部署用户、口令等注:CC IE-RS只涉及网络设备上的一小部分,不作为重点。
cisco交换机的端口安全配置
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】【实验名称】交换机的端口安全配置。
【实验目的】掌握交换机的端口安全功能,控制用户的安全接入。
【背景描述】你是一个公司的网络管理员,公司要求对网络进行严格控制。
为了防止公司内部用户的IP当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。
【实现功能】针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。
【实验设备】S2126G交换机(1台),PC(1台)、直连网线(1条)【实验拓扑】图 26【实验步骤】步骤1. 配置交换机端口的最大连接数限制。
Switch#configure terminalSwitch(config)#interface range fastethernet 0/1-23 ! 进行一组端口的配置模式Switch(config-if-range)#switchport port-security!开启交换机的端口安全功能Switch(config-if-range)#switchport port-secruity maximum 1! 配置端口的最大连接数为1Switch(config-if-range)#switchport port-secruity violation shutdown !配置安全违例的处理方式为shutdown验证测试:查看交换机的端口安全配置。
Switch#show port-securitySecure Port MaxSecureAddr(count) CurrentAddr(count) Security Action------------------------------------------------------------------Fa0/1 1 0ShutdownFa0/2 1 0ShutdownFa0/3 1 0ShutdownFa0/4 1 0ShutdownFa0/5 1 0ShutdownFa0/6 1 0 ShutdownFa0/7 1 0 ShutdownFa0/8 1 0 ShutdownFa0/9 1 0 ShutdownFa0/10 1 0Fa0/20 1 0 ShutdownFa0/21 1 0 ShutdownFa0/22 1 0 ShutdownFa0/23 1 0 Shutdown步骤2. 配置交换机端口的地址绑定。
交换机端口安全portsecurity超级详解
交换机端口安全Port-Security超级详解交换安全交换机端口安全Port-Security超级详解一、Port-Security概述在部署园区网的时候,对于交换机,我们往往有如下几种特殊的需求:限制交换机每个端口下接入主机的数量MAC地址数量限定交换机端口下所连接的主机根据IP或MAC地址进行过滤当出现违例时间的时候能够检测到,并可采取惩罚措施上述需求,可通过交换机的Port-Security功能来实现:二、理解Port-Security安全地址:secure MAC address在接口上激活Port-Security后,该接口就具有了一定的安全功能,例如能够限制接口所连接的的最大MAC数量,从而限制接入的主机用户;或者限定接口所连接的特定MAC,从而实现接入用户的限制;那么要执行过滤或者限制动作,就需要有依据,这个依据就是安全地址– secure MAC address;安全地址表项可以通过让使用端口动态学习到的MACSecureDynamic,或者是手工在接口下进行配置SecureConfigured,以及sticy MAC addressSecureSticky 三种方式进行配置;当我们将接口允许的MAC地址数量设置为1并且为接口设置一个安全地址,那么这个接口将只为该MAC所属的PC服务,也就是源为该MAC的数据帧能够进入该接口;2.当以下情况发生时,激活惩罚violation:当一个激活了Port-Security的接口上,MAC地址数量已经达到了配置的最大安全地址数量,并且又收到了一个新的数据帧,而这个数据帧的源MAC并不在这些安全地址中,那么启动惩罚措施当在一个Port-Security接口上配置了某个安全地址,而这个安全地址的MAC又企图在同VLAN的另一个Port-Security接口上接入时,启动惩罚措施当设置了Port-Security接口的最大允许MAC的数量后,接口关联的安全地址表项可以通过如下方式获取:在接口下使用switchport port-security mac-address 来配置静态安全地址表项使用接口动态学习到的MAC来构成安全地址表项一部分静态配置,一部分动态学习当接口出现up/down,则所有动态学习的MAC安全地址表项将清空;而静态配置的安全地址表项依然保留;与Sticky MAC地址上面我们说了,通过接口动态学习的MAC地址构成的安全地址表项,在接口出现up/down后,将会丢失这些通过动态学习到的MAC构成的安全地址表项,但是所有的接口都用switchport port-security mac-address手工来配置,工作量又太大;因此这个sticky mac 地址,可以让我们将这些动态学习到的MAC变成“粘滞状态”,可以简单的理解为,我先动态的学,学到之后我再将你粘起来,形成一条”静态“ 实际上是SecureSticky的表项;在up/down现象出现后仍能保存;而在使用wr后,这些sticky安全地址将被写入start-up config,即使设备重启也不会被丢失;三、默认的Port-Security配置Port-Security 默认关闭默认最大允许的安全MAC地址数量 1惩罚模式 shutdown进入err-disable状态,同时发送一个SNMP trap四、Port-Security的部署注意事项配置步骤a 在接口上激活Port-SecurityPort-Security开启后,相关参数都有默认配置,需关注b 配置每个接口的安全地址Secure MAC Address可通过交换机动态学习、手工配置、以及stciky等方式创建安全地址c 配置Port-Security惩罚机制默认为shutdown,可选的还有protect、restrictd 可选配置安全地址老化时间2.关于被惩罚后进入err-disable的恢复:如果一个psec端口由于被惩罚进入了err-disable,可以使用如下方法来恢复接口的状态:使用全局配置命令:err-disable recovery psecure-violation手工将特定的端口shutdown再noshutdown3.清除接口上动态学习到的安全地址表项使用clear port-security dynamic命令,将清除所有port-security接口上通过动态学习到的安全地址表项使用clear port-security sticky 命令,将清除所有sticky安全地址表项使用clear port-security configured命令,将清除所有手工配置的安全地址表项使用clear port-security all命令,将清除所有安全地址表项使用show port-security address来查看每个port-security接口下的安全地址表项4.关于sticky安全地址Sticky安全地址,是允许我们将Port-Security接口通过动态学习到的MAC地址变成“粘滞”的安全地址,从而不会由于接口的up/down丢失;然而如果我们希望在设备重启之后,这个sticky的安全地址表项仍然存在,那么就需要wr一下;将配置写入start-up config 文件;Sticky安全地址也是一个简化我们管理员操作的一个很好的工具,毕竟现在不用再一条条的手工去绑了;支持private vlan支持 tunnel接口不支持SPAN的目的接口不支持etherchannel的port-channel接口9.在CISCO IOS 33SXH 以及后续的版本,我们可以将port-security及部署在同一个接口上;而在此之前的软件版本:如果你试图在一个port-security接口上激活则会报错,并且功能无法开启如果你试图在一个接口上激活port-security则也会报错,并且port-security特性无法开启支持nonegotiating trunk 接口Port-Security 支持在如下配置的trunk上激活switchportswitchport trunk encapsulationswitchport mode truknswitchport nonegotiateIf you reconfigure a secure access port as a trunk, port security converts all the sticky and static secure addresses on that port that were dynamicallylearned in the access VLAN to sticky or static secure addresses on the native VLAN of the trunk. Port security removes all secure addresses on the voice VLAN of the access port.If you reconfigure a secure trunk as an access port, port security converts all sticky and static addresses learned on the native VLAN to addresses learned on the access VLAN of the access port. Port security removes all addresses learned on VLANs other than the native VLAN.links和Port-Security互不兼容五、Port-security的配置1.激活Port-Security在access接口上Switchconfig interface fast0/1Switchconfig-if switchportSwitchconfig-if switchport mode accessSwitchconfig-if switchport access vlan 10Switchconfig-if switchport port-security接口的Port-Security特性一旦激活后,默认的最大安全地址个数为1,也就是说,在不进行手工配置安全地址的情况下,这个接口将使用其动态学习到的MAC作为安全地址,并且,这个接口相当于被该MAC所属的设备独占;而且默认的violation是shutdownSW1show port-security interface f0/1Port Security : EnabledPort Status : Secure-up 接口目前的状态是up的Violation Mode : Shutdown 违例后的惩罚措施,默认为shutdownAging Time : 0 minsAging Type : AbsoluteSecureStatic Address Aging : DisabledMaximum MAC Addresses : 1 最大安全地址个数,默认为1Total MAC Addresses : 0Configured MAC Addresses : 0 手工静态配置的安全MAC地址,这里没配Sticky MAC Addresses : 0 sticky的安全地址,这里没有Last Source Address:Vlan : 最近的一个安全地址+vlanSecurity Violation Count : 0 该接口历史上出现过的违例次数这个时候,如果另一台PC接入到这个端口上,那么该port-security接口将会收到一个新的、非安全地址表项中的MAC地址的数据帧,于是触发的违例动作,给接口将被err-disable掉;同时产生一个snmp trap消息,另外,接口下,Security Violation Count将会加12.激活Port-Security在trunk接口上3. Port-Security violation惩罚措施默认的violation是shutdown;如果是protect,那么惩罚就会温柔些,对于非法的数据帧例如数据帧的源MAC不在安全地址表项中的、且安全地址已经达到最大数,这些非法数据将仅仅被丢弃,合法数据照常转发,同时不会触发一个syslog消息,另外接口下的“Security Violation Count”也不会加1;而如果是restrict,那么非法数据被丢弃,同时触发一个syslog消息,再者,Security Violation Count加1,合法的数据照常转发;4. 配置Port Security Rate Limiter注意,在6509交换机,truncated switching模式下不支持该功能在交换机接口上开启Port-Security是会耗费资源的,Port-Security会检测每一个进入接口的数据帧,以判断流量是否合法,或者是否存在违例行为;当一个安全接口设置的violation为shutdown的时候,该接口在违例后触发惩罚机制,进入err-diasble状态,这样可以有效的方式有效的防止交换机由于处理违例事件导致交换机的CPU利用率过高;然而protect和restict的惩罚措施,则不会将端口关闭,端口依然可用,那么这就可能导致在违例事件发生的情况下交换机的CPU利用率飙高例如大量的非法数据涌入;因此当使用protect和restrict这两种违例惩罚措施事,可以通过Port-Secuirty rate limiter来防止CPU飙高;Switchconfig mls rate-limite layer2 port-security rate_in_pps burst_size关于rate_in_pps参数:范围是10- 1000000没有默认值值设置的越低,对CPU的保护程度就越高,这个值对惩罚措施发生前、后都生效,当然这个值也不能设置的过低,至少要保障合法流量被处理吧;一般低于1000就差不多;关于burst-size参数:范围是1-255默认是10,这个默认值一般就够用了;5. 配置Port-Security 最大允许的安全地址数量最大安全地址数量,不同的软件平台允许的上限值有所不同,但是默认都是1;在trunk口上,前面说了,也是可以激活port-security的,而在trunk口上配置最大安全地址数量,可以基于接口配置对所有VLAN生效,也可以基于VLAN进行配置;如下:switchport port-security maximum 1switchport port-security maximum 1 vlan 10,20,30 可以关联多个VLAN6. 在port-security接口上手工配置安全地址上述配置中,最大安全地址数设置为3,然后使用手工配置了一个安全地址,那么剩下2个,交换机可以通过动态学习的方式来构建安全地址;在trunk接口上手工配置安全地址,可关联vlan关键字;如果在trunk接口上手工配置安全地址,没有关联vlan关键字,那么该安全地址将被关联到trunk的native vlan上7. 在port-security接口上使用sticky MAC地址我们知道,构成安全地址表项的方式有好几种,其中一种是使用switchport port-security mac 来手工配置,但是这种方式耗时耗力,更需要去PC上抄MAC,工作成本比较高;而另一种构成安全地址的方式是让交换机使用动态学习到的MAC,然而这些安全地址在接口一旦up/down后,将丢失,更别说重启设备了;因此可以使用sticky mac的方式,这种方式激活后,交换机将动态学习到的MAC“粘起来”,具体的动作很简单,就是在动态学习到MAC例如一个后,如果我激活了sticiky MAC address,则在接口下自动产生一条命令:interface FastEthernet0/1switchport access vlan 10switchport mode accessswitchport port-securityswitchport port-security mac-address stickyswitchport port-security mac-address sticky 自动产生这样形成的安全地址表项是SecureSticky的,即使在接口翻动,也不会丢失;在者如果wr保存配置,命令写入,那么设备即使重启,安全地址也不会丢失;当在接口上激活了port-security mac-address sticky,那么:该接口上所有通过动态学习到的MAC,将被转成sticky mac address从而形成安全地址接口上的静态手工配置的安全地址不会被转成sticky mac address通过voice vlan动态学习到的安全地址不会被转成sticky mac address命令配置后,新学习到的MAC地址,也是sticky的当此时又敲入no port-secuirty mac-address sticiky ,则所有的sticky安全地址条目都变成动态的安全地址条目SecureDynamic8. 配置安全地址老化时间配置的命令比较简单:Switchconfig-if switchport port-security aging type {absolute | inactivity}配置老化时间的类型,如果选择absolute,也就是绝对时间,需要搭配aging time命令设定老化时间的具体值,命令一旦敲下去后,所有的通过动态学习的MAC构建的安全地址表项将开始以aging time倒计时;如果是inactivity关键字,则只在该动态安全地址表项不活跃的时候譬如主机离线了或者挂掉了才开始倒计时;Switchconfig-if switchport port-security aging time设定老化时间Switchconfig-if switchport port-security aging static使用前面两条命令,老化时间是不会影响那些使用静态手工配置的安全地址表项的,当然sticky表项也不会受影响,这些表项都是永不老化的,但是如果搭配上上面这条命令,则手工配置的安全地址表项也受限于老化时间了;不过对于sticky表项,则始终不会激活aging time,它是不会老化的;示例1:将安全地址老化时间设置为50min;针对动态学习到的MAC构成的安全地址有效50min是一个绝对时间,配置完成后开始倒计时,无论该MAC是否依然活跃,都始终进行倒计时示例2:针对动态学习到的MAC构成的安全地址有效,如果该MAC在50min内一直处于失效状态例如主机离线了,那么该安全地址在aging time超时后被清除示例3:注意,上述两种配置方式,对手工配置switchport port-security mac-address 的安全地址无效;也就是采用上述方法配置的静态安全地址表项永不超时;如果增加switchport port-security aging static命令,则手工静态配置的安全地址也的aging time也开始计时注意,对于sticky mac address,安全地址的老化时间无效。
cisco交换机安全配置设定
cisco交换机安全配置设定你还在为不知道cisco交换机安全配置设定而烦恼么?接下来是小编为大家收集的cisco交换机安全配置设定教程,希望能帮到大家。
cisco交换机安全配置设定的方法一、交换机访问控制安全配置1、对交换机特权模式设置密码尽量采用加密和md5 hash方式switch(config)#enable secret 5 pass_string其中 0 Specifies an UNENCRYPTED password will follow5 Specifies an ENCRYPTED secret will follow建议不要采用enable password pass_sting密码,破解及其容易!2、设置对交换机明文密码自动进行加密隐藏switch(config)#service password-encryption3、为提高交换机管理的灵活性,建议权限分级管理并建立多用户switch(config)#enable secret level 7 5 pass_string7 /7级用户进入特权模式的密码switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码switch(config)#username userA privilege 7 secret 5 pass_userAswitch(config)#username userB privilege 15 secret 5 pass_userB/为7级,15级用户设置用户名和密码,Cisco privilege level分为0-15级,级别越高权限越大switch(config)#privilege exec level 7 commands /为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义4、本地console口访问安全配置switch(config)#line console 0switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间,单位为分钟和秒switch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见设置登录console口进行密码验证方式(1):本地认证switch(config-line)#password 7 pass_sting /设置加密密码switch(config-line)#login /启用登录验证方式(2):本地AAA认证switch(config)#aaa new-model /启用AAA认证switch(config)#aaa authentication login console-in group acsserver local enable/设置认证列表console-in优先依次为ACS Server,local用户名和密码,enable特权密码switch(config)#line console 0switch(config-line)# login authentication console-in /调用authentication设置的console-in列表5、远程vty访问控制安全配置switch(config)#access-list 18 permit host x.x.x.x /设置标准访问控制列表定义可远程访问的PC主机switch(config)#aaa authentication login vty-in group acsserver local enable/设置认证列表vty-in, 优先依次为ACS Server,local用户名和密码,enable特权密码switch(config)#aaa authorization commands 7 vty-in group acsserver local if-authenticated/为7级用户定义vty-in授权列表,优先依次为ACS Server,local 授权switch(config)#aaa authorization commands 15 vty-in group acsserver local if-authenticated/为15级用户定义vty-in授权列表,优先依次为ACS Server,local授权switch(config)#line vty 0 15switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间,单位为分钟和秒switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-inswitch(config-line)#authorization commands 15 vty-inswitch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见switch(config-line)#login authentication vty-in /调用authentication设置的vty-in列表switch(config-line)#transport input ssh /有Telnet协议不安全,仅允许通过ssh协议进行远程登录管理6、AAA安全配置switch(config)#aaa group server tacacs+ acsserver /设置AAA 服务器组名switch(config-sg-tacacs+)#server x.x.x.x /设置AAA服务器组成员服务器ipswitch(config-sg-tacacs+)#server x.x.x.xswitch(config-sg-tacacs+)#exitswitch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥二、交换机网络服务安全配置禁用不需要的各种服务协议switch(config)#no service padswitch(config)#no service fingerswitch(config)#no service tcp-small-serversswitch(config)#no service udp-small-serversswitch(config)#no service configswitch(config)#no service ftpswitch(config)#no ip http serverswitch(config)#no ip http secure-server/关闭http,https远程web管理服务,默认cisco交换机是启用的三、交换机防攻击安全加固配置MAC Flooding(泛洪)和Spoofing(欺骗)攻击预防方法:有效配置交换机port-securitySTP攻击预防方法:有效配置root guard,bpduguard,bpdufilterVLAN,DTP攻击预防方法:设置专用的native vlan;不要的接口shut或将端口模式改为accessDHCP攻击预防方法:设置dhcp snoopingARP攻击预防方法:在启用dhcp snooping功能下配置DAI和port-security在级联上层交换机的trunk下switch(config)#int gi x/x/xswitch(config-if)#sw mode trunkswitch(config-if)#sw trunk encaps dot1qswitch(config-if)#sw trunk allowed vlan x-xswitch(config-if)#spanning-tree guard loop/启用环路保护功能,启用loop guard时自动关闭root guard 接终端用户的端口上设定switch(config)#int gi x/x/xswitch(config-if)#spanning-tree portfast/在STP中交换机端口有5个状态:disable、blocking、listening、learning、forwarding,只有处于forwarding状态的端口才可以发送数据。
思科交换机安全端口配置
令,或者你可以手动的shut再no shut端口。这个是端口安全违规的默认动作。
默认的端口安全配置:
以下是端口安全在接口下的配置-
特性:port-sercurity 默认设置:关闭的。
特性:最大安全mac地址数目 默认设置:1
特性:违规模式 默认配置:shutdown,这端口在最大安全mac地址数量达到的时候会shutdown,并发
足够数量的mac地址,来降下最大数值之后才会不丢弃。
?restrict:
一个**数据和并引起"安全违规"计数器的增加的端口安全违规动作。
?shutdown:
一个导致接口马上shutdown,并且发送SNMP陷阱的端口安全违规动作。当一个安全端口处在error-
disable状态,你要恢复正常必须得 敲入全局下的errdisable recovery cause psecure-violation 命
switch(config-if)#end
switch#show port-sec add
Secure Mac Address Table
------------------------------------------------------------
Vlan Mac Address Type Ports
switch(config-if)#end
switch#show port-sec int f0/12
Security Enabled:Yes, Port Status:SecureUp
Violation Mode:Shutdown
Max. Addrs:5, Current Addrs:0, Configure Addrs:0
实验六-1交换机端口安全实验
实验:确保交换机接入安全一、实验目的了解交换机端口安全的基本知识掌握如何配置交换机端口连接的最大安全地址数掌握如何配置交换机端口绑定指定的MAC地址二、实验要求将一台交换机做本地服务器提供DHCP服务在另一台交换机上做端口安全配置,配置802.1x查看有关端口安全地信息三、实验方法及手段1、两人一组分组实验,每组两台交换机。
2、通过实际设备互联,完成Cisco3550、Cisco3560交换机的基本配置操作。
Pc124是自动获取地址,pc3是静态地址。
上方的交换机为DHCP ,下边那个为Switch。
同学们自己更改设备名称。
四、实验内容及步骤Switch(config)#vlan 10Switch(config-if)#int range fa0/1-5Switch(config-if-range)#switchport access vlan 10Switch(config-if-range)#int fa0/1 //端口安全Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security maximum 1Switch(config-if)#switchport port-security mac-address 001b.01cd.143bSwitch(config-if)#switchport port-security mac-address stickySwitch(config-if)#switchport port-security violation shutdownSwitch(config-if)#endSwitch# show port-security //查看端口安全Switch# show port-security addSwitch#conf terSwitch(config)#aaa new-model //配置802.1xSwitch(config)#radius-server host 10.0.0.1 key ciscoSwitch(config)# aaa authentication dot1x default group radiusSwitch(config)#dot1x system-auth-controlSwitch(config)#int fa0/2Switch(config-if)dot1x port-control autoSwitch(config-if)# dot1x host-mode multi-hostSwitch(config-if)endSwitch#show dot1x all //检查Switch(config)#ip dhcp snooping //dhcp监听Switch(config)#ip dhcp snooping vlan 10Switch(config)#int fa0/4Switch(config-if)#ip dhcp snooping trustSwitch(config-if)#ip dhcp snooping limit rate 200Switch(config)#int fa0/1 //源IP地址防护的配置Switch(config-if)#ip verify source port-securitySwitch(config)#ip source binding mac-address vlan 10 192.168.1.10 interface fa0/3 注意mac-address是pc3的mac地址Switch(config-if)# endSwitch# show ip source binding //查看绑定Switch(config)#ip arp inspection vlan 10Switch(config)#int fa0/5Switch(config-if)#ip arp inspection trustSwitch(config-if)#ip arp inspection limit rate 100DHCP(config)#int vlan 10DHCP (config-if)#ip add 192.168.1.251 255.255.255.0 DHCP (config-if)#exitDHCP (config)#ip dhcp eDHCP (config)#ip dhcp excluded-address 192.168.1.10 DHCP (config)#ip dhcp pool vlan10DHCP (dhcp-config)#netDHCP (dhcp-config)#network 192.168.1.0 255.255.255.0 DHCP dhcp-config)#int fa0/1DHCP (config-if)#swDHCP (config-if)#switchport access vlan 10五、课堂作业1.完成pc3和switch的认证,保证能通。
82实验一:交换机端口聚合及端口安全配置
计算机网络工程实验
一、交换机端口聚合配置
技术原理
端口聚合(Aggregate-port)又称链路聚合,是指两台交
计 算 机 网 络 工 程
换机之间在物理上将多个端口连接起来,将多条链路聚 合成一条逻辑链路。从而增大链路带宽,解决交换网络 中因带宽引起的网络瓶颈问题。多条物理链路之间能够 相互冗余备份,其中任意一条链路断开,不会影响其他 链路的正常转发数据。 端口聚合遵循IEEE802.3ad协议的标准。
计算机网络工程实验
二、交换机端口安全配置
【背景描述】
你是一个公司的网络管理员,公司要求对网络进行严
计 算 机 网 络 工 程 【实验设备】
格控制。为了防止公司内部用户的IP地址冲突,防止 公司内部的网络攻击和破坏行为。为每一位员工分配 了固定的IP地址,并且限制只允许公司员工主机可以 使用网络,不得随意连接其他主机。例如:某员工分 配的IP地址是172.16.1.55/24,主机MAC地址是00-061B-DE-13-B4。该主机连接在1台2126G上。
计算机网络工程实验
二、交换机端口安全配置
注意事项 1. 交换机端口安全功能只能在ACCESS接口进行配 置 2. 交换机最大连接数限制取值范围是1~128,默认 是128. 3. 交换机最大连接数限制默认的处理方式是 protect。
计 算 机 网 络 工 程
计算机网络工程实验
思考题
1.用Cisco Packet Tracer配置交换机端口聚合
计算机网络工程实验
一、交换机端口聚合配置
【实验拓扑】
计 算 机 网 络 工 程
F0/23 F0/5 F0/24 NIC F0/23 F0/24 F0/5
思科交换机端口安全(Port-Security)
思科交换机端口安全(Port-Security)Cisco Catalyst交换机端口安全(Port-Security)1、Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。
2、Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac 地址与端口绑定以及mac地址与ip地址绑定。
3、以cisco3550交换机为例做mac地址与端口绑定的可以实现两种应用:a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。
b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。
4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
5、实现方法:针对第3条的两种应用,分别不同的实现方法a、接受第一次接入该端口计算机的mac地址:Switch#config terminalSwitch(config)#inte**ce inte**ce-id 进入需要配置的端口Switch(config-if)#switchport mode access 设置为交换模式Switch(config-if)#switchport port-security 打开端口安全模式Switch(config-if)#switchport port-security violation {protect |restrict | shutdown }//针对非法接入计算机,端口处理模式{丢弃数据包,不发警告| 丢弃数据包,在console发警告| 关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。
交换机端口安全之MAC地址洪泛攻击
我们都知道,组建我们的网络,交换机是必不可少的一个设备,我们都会用它来做一些相应的配置,如划分VLAN、VTP、以及生成树这些,,但是当我们配置了这些以后呢?我们如何来保证我们局域网内的端口安全呢?这是一个必要的操作。
那么下面我们就使用Cisco Packet Tracer 5.2来做做这方面的实验,但是还是有一些不足,哎……,这也没有办法,毕竟是模拟器不是真实的交换机。
我们知道交换机在网络中存在规模最大,通过这个图我们得出一个结论那就是:离接入层越近风险越大,所以问题主要集中在接入层。
那么下来我们就来分析一下这个交换机倒底存在那些安全呢?交换机所面临攻击的层面:MAC layer attacksVLAN attacksSpoofing attacksAttacks on switch devices那么我们知道了交换机所面临这四种攻击,我们现在来一个一个的分析一下这些:Mac Flooding Attack:利用伪造数据帧或数据包软件,不停变化源MAC地址向外发包,让有限的MAC地址表空间无法容纳进而破坏MAC地址表。
应对:限定端口映射的MAC数量在这里三台PC的IP地址如下:以下我们在交换机上面配置MAC地址绑定。
从这里我们可以看见,PC0能够正常使用。
那我们再新添加一台PC并将这台PC 接到FA0/1端口上面看看会是什么效果。
从这个图我们可以看见,PC3接在FA0/1接口上面,当PC3没有向其它网段发送数据包的时候一切正常,那么下面我们来发送一个数据包看看呢?会有什么样的反应?我们可以看出来,当交换机的FA0/1接口接PC0的时候,能够正常使用,但是当我的PC3接入到交换机的FA0/1上,当我发送数据包PC2 上面时候,而交换机发现我PC3的MAC地址不是我当初指定的那个MAC地址,所以就执行将此接口shutdown掉,从上图我们也可以看见,PC3连接的FA0/1已经被shutdown了。
实验17 交换机端口安全
图 3 交换机端口绑定指定 mac 地址
五、背景描述 一是未经授权的用户主机随意连接到企业的网络中。 某公司员工从自己家里拿来一台电脑,可以在不经管理员同意的情况下,拔下某台主机的网线,插在
自己带来的电脑上。然后连入到企业的网路中。这会带来很大的安全隐患。如员工带来的电脑可能本身就 带有病毒。从而使得病毒通过企业内部网络进行传播。或者非法复制企业内部的资料等等。
三、实验内容 1.在交换机上配置端口安全,以及违例的处理方式。 2.两台交换机以交叉线相连,其中主交换机上连接一台 PC 机,以用来验证链路。次交换机下连接两
台 PC 机。在主交换机上配置最大安全地址数 maximum,验证端口 mac 地址数目超过最大安全地址数时,链 路不通,以指定的违例处理方式处理。
步骤 1.画出实验拓扑结构图。
步骤 2. 按实验拓扑图 1 连接设备。并对三台 PC 机进行 IP 设置。
步骤 3.交换机更改主机名。 主交换机改名为 SwitchA,次交换机改名为 SwitchB。
步骤 4.验证 PC0,PC1 与 PC2 三者之间都能 ping 通,说明交换机连接的网络是 ok 的。
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security violation shutdown
【思考二】:如果,主交换机 fa0/1 端口的最大的地址连接数改为 1,结果又如何呢? 【思考三】:如果,主交换机 fa0/1 端口的最大的地址连接数改为 1,并且违例方式为 shutdown,结 果又如何呢? 请将实验结果写在下方:
思科cisco交换机端口安全配置(宝典)
思科cisco 交换机端口安全配置你可以使用端口安全特性来约束进入一个端口的访问,基于识别站点的mac 地址的方法。
当你绑定了mac 地址给一个端口,这个口不会转发限制以外的mac 地址为源的包。
如果你限制安全mac 地址的数目为1,并且把这个唯一的源地址绑定了,那么连接在这个接口的主机将独自占有这个端口的全部带宽。
如果一个端口已经达到了配置的最大数量的安全mac 地址,当这个时候又有另一个mac 地址要通过这个端口连接的时候就发生了安全违规,(security violation).同样地,如果一个站点配置了mac 地址安全的或者是从一个安全端口试图连接到另一个安全端口,就打上了违规标志了。
理解端口安全:当你给一个端口配置了最大安全mac 地址数量,安全地址是以一下方式包括在一个地址表中的:·你可以配置所有的mac 地址使用switchport port-security mac-address,这个接口命令。
·你也可以允许动态配置安全mac 地址,使用已连接的设备的mac 地址。
·你可以配置一个地址的数目且允许保持动态配置。
注意:如果这个端口shutdown 了,所有的动态学的mac 地址都会被移除。
一旦达到配置的最大的mac 地址的数量,地址们就会被存在一个地址表中。
设置最大mac 地址数量为1,并且配置连接到设备的地址确保这个设备独占这个端口的带宽。
当以下情况发生时就是一个安全违规:·最大安全数目mac 地址表外的一个mac 地址试图访问这个端口。
·一个mac 地址被配置为其他的接口的安全mac 地址的站点试图访问这个端口。
你可以配置接口的三种违规模式,这三种模式基于违规发生后的动作:·protect-当mac 地址的数量达到了这个端口所最大允许的数量,带有未知的源地址的包就会被丢弃,直到删除了足够数量的mac 地址,来降下最大数值之后才会不丢弃。
思科Cisco交换机配置——端口安全配置实验案例图文详解
思科Cisco交换机配置——端⼝安全配置实验案例图⽂详解本⽂讲述了思科Cisco交换机端⼝安全配置实验。
分享给⼤家供⼤家参考,具体如下:⼀、实验⽬的:在交换机f0/1端⼝上设置安全配置,使PC1和PC2两台机中只有⼀台机器能够正常通信,另⼀台通信时端⼝则会⾃动关闭⼆、拓扑图如下三、实验步骤:1、先给各台主机配置IP地址(PC1、PC2、PC3)记录PC1或PC2的其中⼀台主机的mac地址2、配置交换机S1enable --进⼊特权模式config terminal --进⼊全局配置模式hostname S2 --修改交换机名为S1interface f0/1 --进⼊到f0/1端⼝shutdown --关闭f0/1端⼝switchport mode access --修改端⼝模式switchport port-security --修改端⼝为安全模式switchport port-security maximum 1 --配置mac地址最⼤数量为1switchport port-security violation shutdown --配置违反安全设置后的处理动作为关闭端⼝switchport port-security mac-address 0009.7C2D.DC67 --将PC1或PC2其中⼀台的mac地址与端⼝绑定no shutdown --激活端⼝end --返回特权模式copy running-config startup-config --保存配置3、分别测试PC1和PC2主机PingPC3主机PC1:正常PIng通PC2:不能正常Ping通违反端⼝安全导致端⼝关闭(如下图,),若想再次启动需要进⼊到f0/1端⼝先shutdown再no shutdown启动:S1:enable --进⼊特权模式config terminal --进⼊全局配置模式interface f0/1 --进⼊f0/1端⼝shutdown --关闭f0/1端⼝no shutdown --激活f0/1端⼝。
Cisco交换机端口安全
VLAN隔离
定期审计和监控
将不同的用户或部门划分到不同的VLAN, 实现逻辑隔离,降低安全风险。
对交换机端口安全策略进行定期审计和监 控,确保安全策略的有效性和合规性。
05
Cisco交换机端口安全故障排除
故障排除概述
故障排除流程
故障排除应遵循一定的流程,包括识别问题、收集信息、分析问 题、制定解决方案和实施解决方案等步骤。
网络管理软件
使用网络管理软件可以帮助管理 员监控网络设备的状态和性能, 及时发现和解决故障。
系统日志
通过分析交换机和网络设备的系 统日志,可以发现潜在的问题和 故障原因。
06
总结与展望
总结
01
02
03
04
05
Cisco交换机端口 端口隔离 安…
端口绑定
访问控制列表 (ACL)
802.1X认证
随着网络技术的不断发展 ,Cisco交换机作为网络核 心设备,其端口安全技术 也得到了广泛应用。这些 技术旨在保护网络免受未 经授权的访问和潜在的安 全威胁。
的风险。
防止IP地址冲突
通
简化管理
通过集中管理和控制网络设备的访问, 可以简化网络管理流程,减少手动配 置的工作量。
提高性能
端口安全可以减少不必要的网络流量 和广播风暴,提高网络性能和稳定性。
03
Cisco交换机端口安全配置
配置步骤
进入交换机的命令行界面。
端口安全通过监控连接到交换机 的设备MAC地址(物理地址)
来实现。
当设备连接到交换机端口时,交 换机将学习并记录该设备的 MAC地址。
之后,交换机将根据MAC地址 表来允许或拒绝网络流量。只有 与MAC地址表中的地址匹配的
难点交换机端口安全的关闭端口
交换机一个端口一个MAC(MAC绑定port)实验环境packet tracer 5.3 Cisco2960Switch(config-if)#interface fa0/2 //进入接口Switch(config-if)#switchport mode access //将接口设置为access模式,在packet tracer中好像是必须的,虽然交换机的默认模式是access,但是还是必须要键入这个命令Switch(config-if)#switchport port-security //启动端口安全功能Switch(config-if)#switchport port-security maximum 1 //设置端口的最大MAC数量Switch(config-if)#switchport port-security mac-address 00D0.97DC.31A7//写入MAC Switch(config-if)#do show port-security address//验证配置,我现在配置的是fa0/2 Secure Mac Address Table------------------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age(mins)---- ----------- ---- ----- -------------1 0030.A36E.C1CC SecureConfigured FastEthernet0/1 -1 00D0.97DC.31A7 SecureConfigured FastEthernet0/2 ------------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0Max Addresses limit in System (excluding one mac per port) : 1024下面我将插在MAC为00D0.97DC.31A7的PC网线拔了插到其他不同MAC的PC上Switch(config-if)#shutdown //我先down了这个接口Switch(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/2, changed state to administratively down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to downSwitch(config-if)#no shutdown //插到另外的一个PC上然后打开端口%LINK-5-CHANGED: Interface FastEthernet0/2, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to upSwitch(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/2, changed state to administratively down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to down //我在这个期间,用ping命令ping了一个不是本机的IP,主要是要让交换机知道我的MAC,由于先前配置了安全端口,所以现在端口状态变成了administratively down,这也是本实验的要的效果下面我在将网线插到原来的PC上(MAC为00D0.97DC.31A7的PC)Switch(config-if)#no shutdown //书上讲只要用no shutdown就可以开启,现在实验显示是无效的%LINK-5-CHANGED: Interface FastEthernet0/2, changed state to downSwitch(config-if)#shutdown //必须先用shutdown关闭端口,这也是论坛里的一个兄弟提醒我的,先谢谢这位兄弟了%LINK-5-CHANGED: Interface FastEthernet0/2, changed state to administratively down Switch(config-if)#no shutdown //再次执行no shutdown好的现在端口可以使用了%LINK-5-CHANGED: Interface FastEthernet0/2, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to upSwitch(config-if)#。
交换机端口隔离与防御安全策略实验报告
交换机端口隔离与防御安全策略实验报告实验名称:交换机端口隔离与防御安全策略实验报告实验目的:本次实验旨在研究和探索交换机端口隔离与防御安全策略,在网络通信中实现端口隔离,防止不受信任的设备或用户访问受限端口,从而提高网络的安全性。
实验环境:1. 交换机:使用Cisco Catalyst系列交换机;2. 设备:使用多个电脑和服务器。
实验步骤和结果:第一步:端口隔离实验1. 在交换机上创建多个虚拟局域网(VLAN);2. 将不同的端口分配给不同的VLAN;3. 设置VLAN间的访问控制列表(ACL)以控制不同VLAN之间的通信;4. 测试不同VLAN间是否能够相互通信。
实验结果:经过实验,我们成功地实现了端口隔离,并且在不同VLAN之间实现了通信控制。
通过设置VLAN间的ACL,我们可以限制不受信任的设备或用户对受限端口的访问,提高了网络的安全性。
第二步:防御安全策略实验1. 配置端口安全,限制每个端口对MAC地址的绑定数量;2. 配置DHCP Snooping,限制非授权的DHCP服务器;3. 配置IP Source Guard,限制数据包IP源地址的伪造;4. 配置ARP Inspection,防止ARP欺骗攻击。
实验结果:在本次实验中,我们成功地配置了端口安全、DHCP Snooping、IP Source Guard和ARP Inspection,有效地防御了MAC地址伪造、非授权的DHCP服务器和ARP欺骗攻击。
这些安全策略保护了局域网中的合法设备,并提高了网络的安全性。
结论:通过本次实验,我们深入了解了交换机端口隔离与防御安全策略的实施原理和方法。
端口隔离和安全策略的应用可以增强网络的安全性,并阻止不受信任设备的访问和网络攻击的发生。
在今后的网络配置和管理中,我们将继续优化安全策略,提高网络的整体安全性。
致谢:在实验过程中,特别感谢指导老师对我们的悉心指导和支持。
同时也感谢实验室的同学们在实验中对我们的合作和帮助。
详述思科2960系列交换机的四大安全特性
详述思科2960系列交换机的四大安全特性张春明2011年5月24日前言思科2960系列交换机是可配置的接入层交换机,具有良好的安全特性,除了使用比较多的划分VLAN外,还有较少使用的ACL功能。
本篇以思科2960系列交换机为主,介绍思科二层交换机比较重要的四大安全特性:生成树协议(STP)、风暴控制(Storm Control)、端口安全(Port Security)和DHCP Snooping。
本篇不同于一般教程以理论讲解为主,而是以真实环境下的实例贯穿全文,基础知识的提及仅为更好地理解实例而服务。
目录第一章生成树协议(STP) (3)1.1 生成树协议(STP) (3)1.1.1 STP的一些基本概念 (3)1.1.2 生成树协议的演变 (4)1.1.2.1 第一代生成树协议 (4)1.1.2.2 第二代生成树协议 (5)1.1.2.3 第三代生成树协议 (5)1.2 实例 (5)1.2.1 思科交换机所支持的生成树协议 (5)1.2.2 查看思科交换机所使用的生成树协议 (6)1.2.3 更改并验证思科交换机所使用的生成树协议 (8)1.2.4 查看每个VLAN的根桥 (9)1.2.5 VLAN Bridge ID的计算 (10)1.2.6 为根桥的VLAN的Root ID与Bridge ID相同 (11)1.2.7 不为根桥的VLAN的Root ID与为根桥的VLAN的Root ID相同 (13)1.2.8 不是根桥的VLAN的Root ID的优先级与其Bridge ID的优先级,可以相同,也可以不相同,取决于Bridge ID的优先级 (15)1.2.9 同一交换机不同VLAN的Bridge ID的MAC地址均相同 (16)1.2.10 Bridge ID 使用Extended System ID的情况时的优先级为4096的倍数 (17)1.3 交换机的五种端口状态 (18)1.3.1 禁用(Down或Disabled) (18)1.3.2 阻塞(Blocking) (18)1.3.3 侦听(Listening) (18)1.3.4 学习(Learning) (18)1.3.5 转发(Forwarding) (18)1.4 快速端口(PortFast) (19)1.4.1 快速端口及其启用条件 (19)1.4.2 配置 (19)1.4.3 查询 (20)第二章风暴控制 (20)2.1 广播风暴 (20)2.2 配置 (20)2.2.1 配置命令 (20)2.2.2 可选配置命令 (21)2.3 实例 (21)2.4 对广播流量的测试 (22)2.4.1 广播流量为何为零 (22)2.4.2 测试出广播流量百分比不为零的情况 (24)第三章端口安全(Port Security) (28)3.1 MAC Flooding攻击 (28)3.2 防范方法 (29)3.2.1 限制端口可以学习到的MAC地址的数量 (29)3.2.1.1 配置命令 (29)3.2.1.2 实例 (29)3.2.1.3 为何不能少switchport port-security这条命令 (30)3.2.1.4 删除时注意事项 (30)3.2.2 绑定端口的MAC地址 (32)3.2.2.1 手动绑定端口的MAC地址 (32)3.2.2.2 Sticky自动绑定端口的MAC地址 (33)3.2.3 违反端口安全规则后交换机的处理方式 (34)3.2.3.1 shutdown (34)3.2.3.2 restrict (36)3.2.3.3 protect (37)3.3 对四种情况的总结 (38)3.3.1 插入maximum为1且绑定了MAC地址的端口,违反端口安全 (38)3.3.2 插入maximum大于1且绑定了MAC地址的端口,不违反端口安全 3.3.3 对于已做过MAC地址绑定的客户端,其插入设置了端口安全的另一端口,违反端口安全 (39)3.3.4 对于已做过MAC地址绑定的客户端,其插入未设置端口安全的另一端口,不违反端口安全 (39)第四章DHCP snooping (40)4.1 概述 (40)4.1.1 冒充DHCP服务器分配IP地址 (40)4.1.2 DHCP Server的DoS(拒绝服务)攻击 (40)4.1.3 用户非法私自绑定IP地址 (41)4.2 DHCP Snooping (41)4.2.1 基本概念 (41)4.2.2 基本配置命令 (41)4.3 实例 (42)4.3.1 实例一 (42)4.3.2 实例二 (45)4.4 验证 (48)4.5 DAI技术简介 (51)第一章生成树协议(STP)1.1 生成树协议(STP)1.1.1 STP的一些基本概念生成树协议,即Spanning Tree Protocol,简称STP,是用来防止网络环路的一种协议。
思科交换配置实验报告
思科交换配置实验报告实验内容本次实验的目标是使用思科交换机进行基本的配置。
我们将进行以下操作步骤:1. 连接思科交换机2. 进入全局配置模式3. 配置交换机主机名和域名4. 配置交换机端口5. 配置交换机VLAN6. 配置交换机端口安全实验步骤1. 连接思科交换机首先,我们使用合适的网线将电脑与思科交换机连接。
确保连接稳定,并确认电脑可以与交换机成功通信。
2. 进入全局配置模式使用终端软件(如PuTTY)登录交换机,并进入管理模式。
输入命令`enable`,进入特权模式,然后输入`configure terminal`,进入全局配置模式。
3. 配置交换机主机名和域名在全局配置模式下,我们可以设置交换机的主机名和域名。
输入命令`hostname <hostname>`,将`<hostname>`替换为你想要设置的主机名。
接着,使用命令`ip domain-name <domain-name>`,将`<domain-name>`替换为你的域名。
4. 配置交换机端口在全局配置模式下,我们可以配置交换机的端口。
首先,使用命令`interface <interface>`,将`<interface>`替换为你要配置的端口编号。
然后,配置端口模式。
可以选择不同的模式(如访问模式、Trunk模式)来适应不同的网络需求。
5. 配置交换机VLANVLAN(Virtual Local Area Network)是一种虚拟局域网技术,可以在一个物理网络中划分多个逻辑网络。
在全局配置模式下,我们可以创建和配置VLAN。
使用命令`vlan <vlan-id>`,将`<vlan-id>`替换为你要配置的VLAN编号。
然后,通过命令`name <vlan-name>`,将`<vlan-name>`替换为你的VLAN名称。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
主机
• Switch(config)#permit any host 0009.6b4c.d4bf • //定义任何主机可以访问MAC为0009.6b4c.d4bf的主机 • Switch(config)#ip access-list extended IP10 • //定义一个IP地址访问控制列表并且命名为IP10 • Switch(config)#permit 192.168.0.1 0.0.0.0 any • //定义IP地址为192.168.0.1的主机可以访问任何主机 • Switch(config)#permit any 192.168.0.1 0.0.0.0 • //定义任何主机都可以访问IP地址为192.168.0.1的主机 • Switch(config)#int fa0/20 • //进入端口配置模式 • Switch(config-if) • #在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略) • Switch(config-if)ip access-group IP10 in • #在该端口上应用名为MAC10的访问列表(IP访问控制列表哟)
4500、6500系列交换机上可以实现,但是 需要注意的是2950、3550需要交换机运行 增强的软件镜像(Enhanced Image)
IP地址的MAC地址绑定
• Switch(config)#mac access-list extended MAC10 //定义一个MAC地址访问控制列表并命名为MAC10 • Switch(config)#permit host 0009.6b4c.d4bf any //定义MAC地址为0009.6b4c.d4bf 的主机可以访问任何
这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或
者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端
口上绑定的MAC地址,才能正常使用。(以上功能适用于思科2950、 3550、4500、6500系列交换机)
基于MAC地址的扩展访问列表
• Switch(config)#Mac access-list extended MAC10 • #定义一个MAC地址访问控制列表并且命名该列表名为MAC10 • Switch(config)#permit host 0009.6bc4.d4bf any • #定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 • Switch(config)#interface fa0/20 • #进入配置具体端口模式 • Switch(config)#mac access-group MAC10 in • #在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策
略)
• Switch(config)#no mac access-list extended MAC10 • #清除名为MAC10的访问列表
MAC地址ACL注意事项
• 此功能与应用一大体相同,但它是基于端
口做的MAC地址访问控制列表限制,可以 限定特定源MAC地址与目的地址范围。
• 注意:以上功能在思科2950、3550、
用命令errdisable recovery 来将接口从错误状态中恢复过来。)
步骤7
• end 回到特权模式。
步骤8
• show port-security interface 验证你的配置。
端口的MAC地址绑定
• #config terminal
#fastethernet 0/1 #进入具体端口配置模式
• #switchport port-security mac-address MAC(主机的MAC地址)
• #配置该端口要绑定的主机的MAC地址
• #no switchport port-security mac-address MAC(主机的MAC地址)
• #删除MAC绑定
•
注意:以上命令设置交换机上某个端口绑定一个具体的MAC地址,
设置端口的保护方式
•
设置处理违例的方式:
protect: 保护端口,当安全地址个数满后,安全端口将丢弃未知
名地址(不是该端口的安全地址中的任何一个)的包。
restrict: 当违例产生时,将发送一个通知Trap
shutdown: 当违例产生时,将关闭端口并发送一个通知。
• (注意:当端口因为违例而Trap被关闭后,你可以在全局配置模式下使
Cisco 交换机端口安全
1、限定允许进入端口的主机数
• #configure terminal //进入全局配置模式。 • #interface interface-id //进入接口配置模式。 • #switchport mode access //设置接口为access模式 • #switchport port-security //打开该接口的端口安全
功能
• #Switchitchport protected #开启端口隔离保护 • #switchport port-security maximum value //设置
接口上安全地址的最大个数
• #switchport port-security violation {protect |
restrict | shutdown} //设置处理违例的方式: