思科交换机端口安全(Port-Security)配置方法详解
思科交换机安全配置(包括AAA,端口安全,ARP安全,DHCP侦听,日志审计流量限制)
思科交换机安全配置(包括AAA,端口安全,ARP安全,DHCP侦听,日志审计流量限制)网络拓扑图如下:根据图示连接设备。
在本次试验中,具体端口情况如上图数字标出。
核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。
IP 地址分配:Router:e0:192.168.1.1Core:f0/1: 192.168.1.2Svi接口:Core vlan10: 172.16.10.254Vlan20: 172.16.20.254Vlan30: 172.16.30.254Access vlan10: 172.16.10.253Vlan20: 172.16.20.253Vlan30: 172.16.30.253服务器IP地址:192.168.30.1Office区域网段地址:PC1:192.168.10.1PC2:192.168.10.2路由器清空配置命令:enerase startup-configReload交换机清空配置命令:enerase startup-configdelete vlan.datReload加速命令:enconf tno ip domain lookupline con 0exec-timeout 0 0logging synhostname一、OFFICE 区域地址静态分配,防止OFFICE 网络发生ARP 攻击,不允许OFFICE 网段PC 互访;STUDENTS 区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击;1、基本配置SW1的配置:SW1(config)#vtp domain cisco //SW1配置vtp,模式为server,SW2模式为client SW1(config)#vtp password sovandSW1(config)#vtp mode serverSW1(config)#vlan 10SW1(config)#int range f0/3,f0/4 //链路捆绑SW1(config-if-range)#Channel-protocol pagpSW1(config-if-range)#Channel-group 10 mode onSW1(config)#int port-channel 10 //链路设置为trunk模式,封装802.1q协议,三层交换机默认没有封装该协议SW1(config-if)#switchport trunk encapsulation dot1qSW1(config-if)#switchport mode trunkSW2配置:SW2(config)#vtp domain ciscoSW2(config)#vtp password sovandSW2(config)#vtp mode clientSW2(config)#int range f0/3,f0/4SW2(config-if-range)#Channel-protocol pagpSW2(config-if-range)#Channel-group 10 mode onCreating a port-channel interface Port-channel 10SW2(config)#int port-channel 10SW2(config-if)#switchport trunk encapsulation dot1qSW2(config-if)#switchport mode trunkSW2(config)#int f0/1 //把f0/1,f0/2划入vlan10SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 10SW2(config-if)#int f0/2SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 102、vlan aclOffice区域禁止PC机互访:使用show int e0/0命令查看mac地址SW2(config)#mac access-list extended macaclSW2(config-ext-macl)#permit host 0007.8562.9de0 host 0007.8562.9c20 //要禁止双向通信SW2(config-ext-macl)#permit host 0007.8562.9c20 host 0007.8562.9de0SW2(config)#vlan access-map vmap 10 //禁止pc间的通信SW2(config-access-map)#match mac add macaclSW2(config-access-map)#action dropSW2(config)#vlan access-map vmap 20 //对其他数据放行,不然pc机无法ping通svi口、网关SW2(config-access-map)#action forwardSW2(config)#vlan filter vmap vlan-list 10未使用VLAN ACL时pc1可以ping通pc2,如下图:使用VLAN ACL时pc1可以无法ping通pc2,如下图:3、Office区域静态配置ip地址时采用的ARP防护:配置如下:SW2(config)#ip arp inspection vlan 10SW2(config)#arp access-list arplistSW2(config-arp-nacl)#permit ip host 192.168.10.1 mac host 0007.8562.9de0 //ip地址与mac地址对应表SW2(config-arp-nacl)#permit ip host 192.168.10.2 mac host 0007.8562.9c20SW2(config-arp-nacl)#ip arp inspection filter arplist vlan 10 SW2(config)#int port-channel 10SW2(config-if)#ip arp inspection trust注意:配置静态arp防护(用户主机静态配置地址,不是通过DHCP获取地址),需要新建ip与mac映射表,不然pc1无法ping 通svi口4、OSPF与DHCP全网起OSPF协议,使pc1可以ping通路由器。
关于端口绑定
Switch(config)Permit 192.168.0.1 0.0.0.0 any
#定义IP地址为192.168.0.1的主机可以访问任意主机
Permit any 192.168.0.1 0.0.0.0
#定义所有主机可以访问IP地址为192.168.0.1的主机ห้องสมุดไป่ตู้
利用交换机的Port-Security功能实现
以下是一个配置实例:
switch#config t
switch(config)#int f0/1
switch(config-if)#switchport mode access
//设置交换机的端口模式为access模式,注意缺省是dynamic
在cisco交换机中为了防止ip被盗用或员工乱改ip,可以做以下措施,即ip与mac地址的绑定和ip与交换机端口的绑定。
一、通过IP查端口
先查Mac地址,再根据Mac地址查端口:
bangonglou3#show arp | include 208.41 或者show mac-address-table 来查看整个端口的ip-mac表
2950 中可以用的MAC地址绑定,我试过了,很好用的。
1.
int f0/1
swi mode access
swi port-security
swi port-security max 1
switchport violation protect
switchport port-security mac-address x.x.x
//dynamic模式下是不能使用Port-security功能
思科交换机安全端口配置
令,或者你可以手动的shut再no shut端口。这个是端口安全违规的默认动作。
默认的端口安全配置:
以下是端口安全在接口下的配置-
特性:port-sercurity 默认设置:关闭的。
特性:最大安全mac地址数目 默认设置:1
特性:违规模式 默认配置:shutdown,这端口在最大安全mac地址数量达到的时候会shutdown,并发
足够数量的mac地址,来降下最大数值之后才会不丢弃。
?restrict:
一个**数据和并引起"安全违规"计数器的增加的端口安全违规动作。
?shutdown:
一个导致接口马上shutdown,并且发送SNMP陷阱的端口安全违规动作。当一个安全端口处在error-
disable状态,你要恢复正常必须得 敲入全局下的errdisable recovery cause psecure-violation 命
switch(config-if)#end
switch#show port-sec add
Secure Mac Address Table
------------------------------------------------------------
Vlan Mac Address Type Ports
switch(config-if)#end
switch#show port-sec int f0/12
Security Enabled:Yes, Port Status:SecureUp
Violation Mode:Shutdown
Max. Addrs:5, Current Addrs:0, Configure Addrs:0
交换机端口安全系统Port-Security超级详解
交换机端口安全Port-Security超级详解交换安全】交换机端口安全Port-Security超级详解一、Port-Security概述在部署园区网的时候,对于交换机,我们往往有如下几种特殊的需求:•限制交换机每个端口下接入主机的数量(MAC地址数量)•限定交换机端口下所连接的主机(根据IP或MAC地址进行过滤)•当出现违例时间的时候能够检测到,并可采取惩罚措施上述需求,可通过交换机的Port-Security功能来实现:二、理解Port-Security1.Port-Security安全地址:secure MAC address在接口上激活Port-Security后,该接口就具有了一定的安全功能,例如能够限制接口(所连接的)的最大MAC数量,从而限制接入的主机用户;或者限定接口所连接的特定MAC,从而实现接入用户的限制。
那么要执行过滤或者限制动作,就需要有依据,这个依据就是安全地址–secure MAC address。
安全地址表项可以通过让使用端口动态学习到的MAC(SecureDynamic),或者是手工在接口下进行配置(SecureConfigured),以及sticy MAC address(SecureSticky)三种方式进行配置。
当我们将接口允许的MAC地址数量设置为1并且为接口设置一个安全地址,那么这个接口将只为该MAC所属的PC服务,也就是源为该MAC的数据帧能够进入该接口。
2.当以下情况发生时,激活惩罚(violation):当一个激活了Port-Security的接口上,MAC地址数量已经达到了配置的最大安全地址数量,并且又收到了一个新的数据帧,而这个数据帧的源MAC并不在这些安全地址中,那么启动惩罚措施当在一个Port-Security接口上配置了某个安全地址,而这个安全地址的MAC又企图在同VLAN的另一个Port-Security接口上接入时,启动惩罚措施当设置了Port-Security接口的最大允许MAC的数量后,接口关联的安全地址表项可以通过如下方式获取:•在接口下使用switchport port-security mac-address 来配置静态安全地址表项•使用接口动态学习到的MAC来构成安全地址表项•一部分静态配置,一部分动态学习当接口出现up/down,则所有动态学习的MAC安全地址表项将清空。
思科交换机端口安全(Port-Security)
思科交换机端口安全(Port-Security)Cisco Catalyst交换机端口安全(Port-Security)1、Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。
2、Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac 地址与端口绑定以及mac地址与ip地址绑定。
3、以cisco3550交换机为例做mac地址与端口绑定的可以实现两种应用:a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。
b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。
4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
5、实现方法:针对第3条的两种应用,分别不同的实现方法a、接受第一次接入该端口计算机的mac地址:Switch#config terminalSwitch(config)#inte**ce inte**ce-id 进入需要配置的端口Switch(config-if)#switchport mode access 设置为交换模式Switch(config-if)#switchport port-security 打开端口安全模式Switch(config-if)#switchport port-security violation {protect |restrict | shutdown }//针对非法接入计算机,端口处理模式{丢弃数据包,不发警告| 丢弃数据包,在console发警告| 关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。
Cisco 交换机端口安全
主机
• Switch(config)#permit any host 0009.6b4c.d4bf • //定义任何主机可以访问MAC为0009.6b4c.d4bf的主机 • Switch(config)#ip access-list extended IP10 • //定义一个IP地址访问控制列表并且命名为IP10 • Switch(config)#permit 192.168.0.1 0.0.0.0 any • //定义IP地址为192.168.0.1的主机可以访问任何主机 • Switch(config)#permit any 192.168.0.1 0.0.0.0 • //定义任何主机都可以访问IP地址为192.168.0.1的主机 • Switch(config)#int fa0/20 • //进入端口配置模式 • Switch(config-if) • #在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略) • Switch(config-if)ip access-group IP10 in • #在该端口上应用名为MAC10的访问列表(IP访问控制列表哟)
4500、6500系列交换机上可以实现,但是 需要注意的是2950、3550需要交换机运行 增强的软件镜像(Enhanced Image)
IP地址的MAC地址绑定
• Switch(config)#mac access-list extended MAC10 //定义一个MAC地址访问控制列表并命名为MAC10 • Switch(config)#permit host 0009.6b4c.d4bf any //定义MAC地址为0009.6b4c.d4bf 的主机可以访问任何
这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或
cisco交换机的端口安全配置
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】【实验名称】交换机的端口安全配置。
【实验目的】掌握交换机的端口安全功能,控制用户的安全接入。
【背景描述】你是一个公司的网络管理员,公司要求对网络进行严格控制。
为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。
为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络00-06-1B-DE-13-B4。
该主机连接在1台2126G上边。
【技术原理】交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。
交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。
限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。
交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。
可以实现对用户进行严格的控制。
保证用户的安全接入和防止常见的内网的网络攻击。
如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。
配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种:⌝ protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。
⌝ restrict 当违例产生时,将发送一个Trap通知。
⌝ shutdown 当违例产生时,将关闭端口并发送一个Trap通知。
当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。
【实现功能】针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC 地址绑定。
【实验设备】S2126G交换机(1台),PC(1台)、直连网线(1条)【实验拓扑】图 26【实验步骤】步骤1. 配置交换机端口的最大连接数限制。
思科交换机安全配置基线
《思科交换机安全配置基线》目录1概述 (1)1.1适用范围 (1)1.2术语和定义 (1)1.3符号和缩略语 (1)2思科交换机设备安全配置要求 (2)2.1账号管理、认证授权 (2)2.1.1账户 (2)2.1.2口令 (3)2.1.3认证 (4)2.2日志安全要求 (5)2.3IP协议安全要求 (7)2.3.1基本协议安全 (7)2.3.2SNMP协议安全 (9)2.4访问控制安全要求 (10)2.5V LAN安全要求 (14)2.6其他安全要求 (16)页号: 1 of 191概述1.1 适用范围本规范适用于思科交换机。
本规范明确了思科交换机安全配置方面的基本要求。
基线配置项中的“可选”项,可以根据具体系统和应用环境,选择是否遵守。
1.2 术语和定义BGP Route flap damping:由RFC2439定义,当BGP接口翻转后,其他BGP系统就会在一段可配置的时间内不接受从这个问题网络发出的路由信息。
1.3 符号和缩略语2思科交换机设备安全配置要求2.1账号管理、认证授权2.1.1账户编号:安全要求-设备-思科交换机-配置-1-可选编号:安全要求-设备-思科交换机-配置-22.1.2口令编号: 安全要求-设备-思科交换机-配置-3编号:安全要求-设备-思科交换机-配置-42.1.3认证编号:安全要求-设备-思科交换机-配置-5-可选2.2日志安全要求编号:安全要求-设备-思科交换机-配置-6-可选编号:安全要求-设备-思科交换机-配置-7-可选2.3IP协议安全要求2.3.1基本协议安全编号:安全要求-设备-思科交换机-配置-8-可选编号:安全要求-设备-思科交换机-配置-9-可选2.3.2SNMP协议安全编号:安全要求-设备-思科交换机-配置-10-可选2.4访问控制安全要求编号:安全要求-设备-思科交换机-配置-11编号:安全要求-设备-思科交换机-配置-12-可选编号:安全要求-设备-思科交换机-配置-13编号:安全要求-设备-思科交换机-配置-14编号:安全要求-设备-思科交换机-配置-15-可选安全要求-设备-思科交换机-配置-16-可选2.5Vlan安全要求安全要求-设备-思科交换机-配置-17-可选安全要求-设备-思科交换机-配置-18-可选2.6其他安全要求编号:安全要求-设备-思科交换机-配置-19安全要求-设备-思科交换机-配置-20。
思科cisco交换机端口安全配置(宝典)
思科cisco 交换机端口安全配置你可以使用端口安全特性来约束进入一个端口的访问,基于识别站点的mac 地址的方法。
当你绑定了mac 地址给一个端口,这个口不会转发限制以外的mac 地址为源的包。
如果你限制安全mac 地址的数目为1,并且把这个唯一的源地址绑定了,那么连接在这个接口的主机将独自占有这个端口的全部带宽。
如果一个端口已经达到了配置的最大数量的安全mac 地址,当这个时候又有另一个mac 地址要通过这个端口连接的时候就发生了安全违规,(security violation).同样地,如果一个站点配置了mac 地址安全的或者是从一个安全端口试图连接到另一个安全端口,就打上了违规标志了。
理解端口安全:当你给一个端口配置了最大安全mac 地址数量,安全地址是以一下方式包括在一个地址表中的:·你可以配置所有的mac 地址使用switchport port-security mac-address,这个接口命令。
·你也可以允许动态配置安全mac 地址,使用已连接的设备的mac 地址。
·你可以配置一个地址的数目且允许保持动态配置。
注意:如果这个端口shutdown 了,所有的动态学的mac 地址都会被移除。
一旦达到配置的最大的mac 地址的数量,地址们就会被存在一个地址表中。
设置最大mac 地址数量为1,并且配置连接到设备的地址确保这个设备独占这个端口的带宽。
当以下情况发生时就是一个安全违规:·最大安全数目mac 地址表外的一个mac 地址试图访问这个端口。
·一个mac 地址被配置为其他的接口的安全mac 地址的站点试图访问这个端口。
你可以配置接口的三种违规模式,这三种模式基于违规发生后的动作:·protect-当mac 地址的数量达到了这个端口所最大允许的数量,带有未知的源地址的包就会被丢弃,直到删除了足够数量的mac 地址,来降下最大数值之后才会不丢弃。
最新整理怎么在思科模拟器上给交换机设置
怎么在思科模拟器上给交换机设置交换机除了能够连接同种类型的网络之外,还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。
在思科模拟器上怎么进行交换机的基本配置?交换机是基于收到的数据帧中的源M A C地址和目的M A C 地址来进行工作。
我们今天就来看看交换机的基本配置,需要的朋友可以参考下方法步骤1、首先找出一台2811类的路由器和一台2960类的交换机和3台p c,利用直通线使各个设备相互连接起来2、为交换机配置主机名,命令为S w i t c h e n a b l eS w i t c h#c o n f t e r m i n a lE n t e r c o n f i g u r a t i o n c o m m a n d s, o n e p e r l i n e. E n d w i t h C N T L/Z.S w i t c h(c o n f i g)#h o s t n a m e S13、为交换机配置密码,命令为:S1(c o n f i g)#e n a b l e s e c r e t c i s c oS1(c o n f i g)#l i n e v t y015S1(c o n f i g-l i n e)#p a s s w o r d c i s c oS1(c o n f i g-l i n e)#l o g i n4、配置交换机端口安全,配置命令是:S1(c o n f i g)#i n t f0/1S1(c o n f i g-i f)#s h u t d o w nS1(c o n f i g-i f)#s w i t c h m o d e a c c e s sS1(c o n f i g-i f)#s w i t c h p o r t-s e c u r i t i y5、检查交换机的M a c地址表,命令是:S1#s h o wm a c-a d d r e s s-t a b l e6、查看端口安全的设置情况,用命令为:s h o wp o r t-s e c u r i t y相关阅读:交换机工作原理过程交换机工作于O S I参考模型的第二层,即数据链路层。
cisco3560思科交换机常用配置教程与实例
1.1路由器的几个操作模式Router>//用户模式Router>enable//用户模式敲入enable进入特权模式Router#configure terminal//特权模式敲入configure terminal进入全局配置模式Router(config)#interface ethernet 0//配置模式敲入interface+接口类型+接口编号,进入接口配置模式(如:interface serial 0 或是interface serial 0/1 ,interface fast1/1,接口编号是多少具体要看是哪个型号的设备)Router (config)#interface range fa 0/2 – 5//利用range可以一次操作多个端口Router(config-if)#exit //从接口模式退出到配置模式Router(config)#exit//从配置模式退出到特权模式注意:任何时候按Ctrl-z或是end都会退出到特权模式1.2命名主机名Router(config)#hostname 主机名//路由默认主机名为Router,交换机为switch如:Router(config)#hostname Wisdom//设置主机名是WisdomWisdom(config)#1.3给路由器设置时间Wisdom(config)#clock set 23:46:50 sep 4 2006Wisdom#show clock//用show clock 命令查看时间1.8.利用TELNET来管理网络首先通CONSOLE口控制R1,控制R1后通过TELNET到R2,R3,对R2,R3进行管理.在R1上实验:R1#telnet 12.1.1.2//从R1 TELNET到R2R2>按<Ctrl-Shift-6>x 切换回R1R1#telnet 13.1.1.3//从R1 TELNET到R3R3>按<Ctrl-Shift-6>x 切换回R1R1#show sessions//在R1上查看打开了多少个TELNET的会话Conn Host Address Byte Idle Conn Name1 12.1.1.2 12.1.1.2 0 0 12.1.1.2* 2 13.1.1.3 13.1.1.3 0 0 13.1.1.3R1#resume 2//重新连接到R3R3>按<Ctrl-Shift-6>x 切换回R1R1#R1#disconnect 1//从R1是主动断开到R2的连接(断开一个TELNET的会话)在R2上实验:R2#show users//在R2上查看有谁登录到路由器Line User Host(s) Idle Location* 0 con 0 idle 00:00:002 vty 0 idle 00:01:52 12.1.1.1R2#clear line 2//发现有人TELNET过来,把他清除R2#show usersLine User Host(s) Idle Location* 0 con 0 idle 00:00:00注意:Show session和show user的区别Disconnect 和Clear line的区别Ctrl+shift+6 x 和resume1.9 PING、TraceRoute、Debug、Sysloga.使用PING命令R1#ping 12.1.1.2如果ping的结果是!!!!!则表明网络正常.如果ping的结果是…..则表明网络不通.如果ping的结果是U.U.U则表明下一跳不可达.b.使用traceroute命令, 在网络层上追踪源到目的地址所经过的路由器.(或是数据包经过的路径)例:R2#traceroute 33.1.1.3Tracing the route to 33.1.1.31 12.1.1.1 4 msec 4 msec 4 msec2 13.1.1.34 msec 4 msec *//从以上可以看出从R2 到达33.1.1.3经过了12.1.1.1和13.1.1.3两个路由器例:………………………………………………………………………………………………………………….3.3使用串口管理交换机。
思科Cisco交换机配置——端口安全配置实验案例图文详解
思科Cisco交换机配置——端⼝安全配置实验案例图⽂详解本⽂讲述了思科Cisco交换机端⼝安全配置实验。
分享给⼤家供⼤家参考,具体如下:⼀、实验⽬的:在交换机f0/1端⼝上设置安全配置,使PC1和PC2两台机中只有⼀台机器能够正常通信,另⼀台通信时端⼝则会⾃动关闭⼆、拓扑图如下三、实验步骤:1、先给各台主机配置IP地址(PC1、PC2、PC3)记录PC1或PC2的其中⼀台主机的mac地址2、配置交换机S1enable --进⼊特权模式config terminal --进⼊全局配置模式hostname S2 --修改交换机名为S1interface f0/1 --进⼊到f0/1端⼝shutdown --关闭f0/1端⼝switchport mode access --修改端⼝模式switchport port-security --修改端⼝为安全模式switchport port-security maximum 1 --配置mac地址最⼤数量为1switchport port-security violation shutdown --配置违反安全设置后的处理动作为关闭端⼝switchport port-security mac-address 0009.7C2D.DC67 --将PC1或PC2其中⼀台的mac地址与端⼝绑定no shutdown --激活端⼝end --返回特权模式copy running-config startup-config --保存配置3、分别测试PC1和PC2主机PingPC3主机PC1:正常PIng通PC2:不能正常Ping通违反端⼝安全导致端⼝关闭(如下图,),若想再次启动需要进⼊到f0/1端⼝先shutdown再no shutdown启动:S1:enable --进⼊特权模式config terminal --进⼊全局配置模式interface f0/1 --进⼊f0/1端⼝shutdown --关闭f0/1端⼝no shutdown --激活f0/1端⼝。
cisco实现MAC地址和交换机端口绑定
cisco实现MAC地址和交换机端口绑定cisco实现MAC地址和交换机端口绑定利用交换机的Port-Security功能实现以下是一个配置实例:switch#config tswitch(config)#int f0/1switch(config-if)#switchport mode access//设置交换机的端口模式为access模式,注意缺省是dynamic//dynamic模式下是不能使用Port-security功能switch(config-if)#switchport port-security//打开port-security功能switch(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx//xxxx.xxxx.xxxx就是你要关联的mac地址switch(config-if)#switchport port-security maximum 1//其实缺省就是1switch(config-if)#switchport port-security violation shutdown//如果违反规则,就shutdown端口//这个时候你show int f0/1的时候就会看到接口是err-disable 的附:switchport port-security命令语法Switch(config-if)#switchport port-security ?aging Port-security aging commandsmac-address Secure mac address//设置安全MAC地址maximum Max secure addresses//设置最大的安全MAC地址的数量,缺省是1violation Security violation mode//设置违反端口安全规则后的工作,缺省是shutdown。
Cisco交换机端口安全
VLAN隔离
定期审计和监控
将不同的用户或部门划分到不同的VLAN, 实现逻辑隔离,降低安全风险。
对交换机端口安全策略进行定期审计和监 控,确保安全策略的有效性和合规性。
05
Cisco交换机端口安全故障排除
故障排除概述
故障排除流程
故障排除应遵循一定的流程,包括识别问题、收集信息、分析问 题、制定解决方案和实施解决方案等步骤。
网络管理软件
使用网络管理软件可以帮助管理 员监控网络设备的状态和性能, 及时发现和解决故障。
系统日志
通过分析交换机和网络设备的系 统日志,可以发现潜在的问题和 故障原因。
06
总结与展望
总结
01
02
03
04
05
Cisco交换机端口 端口隔离 安…
端口绑定
访问控制列表 (ACL)
802.1X认证
随着网络技术的不断发展 ,Cisco交换机作为网络核 心设备,其端口安全技术 也得到了广泛应用。这些 技术旨在保护网络免受未 经授权的访问和潜在的安 全威胁。
的风险。
防止IP地址冲突
通
简化管理
通过集中管理和控制网络设备的访问, 可以简化网络管理流程,减少手动配 置的工作量。
提高性能
端口安全可以减少不必要的网络流量 和广播风暴,提高网络性能和稳定性。
03
Cisco交换机端口安全配置
配置步骤
进入交换机的命令行界面。
端口安全通过监控连接到交换机 的设备MAC地址(物理地址)
来实现。
当设备连接到交换机端口时,交 换机将学习并记录该设备的 MAC地址。
之后,交换机将根据MAC地址 表来允许或拒绝网络流量。只有 与MAC地址表中的地址匹配的
cisco交换机安全配置设定
cisco交换机安全配置设定你还在为不知道cisco交换机安全配置设定而烦恼么?接下来是小编为大家收集的cisco交换机安全配置设定教程,希望能帮到大家。
cisco交换机安全配置设定的方法一、交换机访问控制安全配置1、对交换机特权模式设置密码尽量采用加密和md5 hash方式switch(config)#enable secret 5 pass_string其中 0 Specifies an UNENCRYPTED password will follow5 Specifies an ENCRYPTED secret will follow建议不要采用enable password pass_sting密码,破解及其容易!2、设置对交换机明文密码自动进行加密隐藏switch(config)#service password-encryption3、为提高交换机管理的灵活性,建议权限分级管理并建立多用户switch(config)#enable secret level 7 5 pass_string7 /7级用户进入特权模式的密码switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码switch(config)#username userA privilege 7 secret 5 pass_userAswitch(config)#username userB privilege 15 secret 5 pass_userB/为7级,15级用户设置用户名和密码,Cisco privilege level分为0-15级,级别越高权限越大switch(config)#privilege exec level 7 commands /为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义4、本地console口访问安全配置switch(config)#line console 0switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间,单位为分钟和秒switch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见设置登录console口进行密码验证方式(1):本地认证switch(config-line)#password 7 pass_sting /设置加密密码switch(config-line)#login /启用登录验证方式(2):本地AAA认证switch(config)#aaa new-model /启用AAA认证switch(config)#aaa authentication login console-in group acsserver local enable/设置认证列表console-in优先依次为ACS Server,local用户名和密码,enable特权密码switch(config)#line console 0switch(config-line)# login authentication console-in /调用authentication设置的console-in列表5、远程vty访问控制安全配置switch(config)#access-list 18 permit host x.x.x.x /设置标准访问控制列表定义可远程访问的PC主机switch(config)#aaa authentication login vty-in group acsserver local enable/设置认证列表vty-in, 优先依次为ACS Server,local用户名和密码,enable特权密码switch(config)#aaa authorization commands 7 vty-in group acsserver local if-authenticated/为7级用户定义vty-in授权列表,优先依次为ACS Server,local 授权switch(config)#aaa authorization commands 15 vty-in group acsserver local if-authenticated/为15级用户定义vty-in授权列表,优先依次为ACS Server,local授权switch(config)#line vty 0 15switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间,单位为分钟和秒switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-inswitch(config-line)#authorization commands 15 vty-inswitch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见switch(config-line)#login authentication vty-in /调用authentication设置的vty-in列表switch(config-line)#transport input ssh /有Telnet协议不安全,仅允许通过ssh协议进行远程登录管理6、AAA安全配置switch(config)#aaa group server tacacs+ acsserver /设置AAA 服务器组名switch(config-sg-tacacs+)#server x.x.x.x /设置AAA服务器组成员服务器ipswitch(config-sg-tacacs+)#server x.x.x.xswitch(config-sg-tacacs+)#exitswitch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥二、交换机网络服务安全配置禁用不需要的各种服务协议switch(config)#no service padswitch(config)#no service fingerswitch(config)#no service tcp-small-serversswitch(config)#no service udp-small-serversswitch(config)#no service configswitch(config)#no service ftpswitch(config)#no ip http serverswitch(config)#no ip http secure-server/关闭http,https远程web管理服务,默认cisco交换机是启用的三、交换机防攻击安全加固配置MAC Flooding(泛洪)和Spoofing(欺骗)攻击预防方法:有效配置交换机port-securitySTP攻击预防方法:有效配置root guard,bpduguard,bpdufilterVLAN,DTP攻击预防方法:设置专用的native vlan;不要的接口shut或将端口模式改为accessDHCP攻击预防方法:设置dhcp snoopingARP攻击预防方法:在启用dhcp snooping功能下配置DAI和port-security在级联上层交换机的trunk下switch(config)#int gi x/x/xswitch(config-if)#sw mode trunkswitch(config-if)#sw trunk encaps dot1qswitch(config-if)#sw trunk allowed vlan x-xswitch(config-if)#spanning-tree guard loop/启用环路保护功能,启用loop guard时自动关闭root guard 接终端用户的端口上设定switch(config)#int gi x/x/xswitch(config-if)#spanning-tree portfast/在STP中交换机端口有5个状态:disable、blocking、listening、learning、forwarding,只有处于forwarding状态的端口才可以发送数据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
思科交换机端口安全(Port-Security)Cisco Catalyst交换机端口安全(Port-Security)1、 Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。
2、 Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac地址与端口绑定以及mac地址与ip地址绑定。
3、以cisco3550交换机为例做mac地址与端口绑定的可以实现两种应用:a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。
b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。
4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
5、实现方法:针对第3条的两种应用,分别不同的实现方法a、接受第一次接入该端口计算机的mac地址:Switch#config terminalSwitch(config)#inte**ce inte**ce-id 进入需要配置的端口Switch(config-if)#switchport mode access 设置为交换模式Switch(config-if)#switchport port-security 打开端口安全模式Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }//针对非法接入计算机,端口处理模式{丢弃数据包,不发警告 | 丢弃数据包,在console发警告 | 关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。
b、接受某特定计算机mac地址:Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security violation {protect | restrict | shutdown }//以上步骤与a同Switch(config-if)#switchport port-security mac-address stickySwitch(config-if)#switchport port-security aging static //打开静态映射Switch(config-if)#switchport port-security mac-address sticky**X.**X.**X//为端口输入特定的允许通过的mac地址mac地址与ip地址绑定基本原理:在交换机内建立mac地址和ip地址对应的映射表。
端口获得的ip和mac地址将匹配该表,不符合则丢弃该端口发送的数据包。
实现方法:Switch#config terminalSwitch(config)#arp 1.1.1.1 0001.0001.1111 arpa该配置的主要注意事项:需要将网段内所有IP都建立MAC地址映射,没有使用的IP地址可以与0000.0000.0000建立映射。
否则该绑定对于网段内没有建立映射的IP地址无效。
最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,**具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC 地址的帧流量通过。
稍微引申下端口安全,就是可以根据802.1X来控制网络的访问流量。
首先谈一下MAC地址与端口绑定,以及根据MAC地址允许流量的配置。
1.MAC地址与端口绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端口将down掉。
当给端口指定MAC地址时,端口模式必须为access或者Trunk状态。
3550-1#conf t3550-1(config)#int f0/13550-1(config-if)#switchport mode access /指定端口模式。
3550-1(config-if)#switchport port-security mac-address00-90-F5-10-79-C1//配置MAC地址。
3550-1(config-if)#switchport port-security maximum 1//**此端口允许通过的MAC地址数为1。
3550-1(config-if)#switchport port-security violation shutdown//当发现与上述配置不符时,端口down掉。
2.通过MAC地址来**端口流量,此配置允许一接口最多通过100个MAC地址,超过100时,但来自新的主机的数据帧将丢失。
3550-1#conf t3550-1(config)#int f0/13550-1(config-if)#switchport mode access3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。
3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时,交换机继续工作,但来自新的主机的数据帧将丢失。
上面的配置根据MAC地址来允许流量,下面的配置则是根据MAC地址来拒绝流量1.此配置在Catalyst交换机中只能对单播流量进行过滤,对于多播流量则无效。
3550-1#conf t3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop/在相应的Vlan丢弃流量。
3550-1#conf t3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1/在相应的接口丢弃流量。
你可以配置接口的三种违规模式·protect:当mac地址的数量达到了这个端口所最大允许的数量,带有未知的源地址的包就会被丢弃,直到删除了足够数量的mac地址,来降下最大数值之后才会不丢弃。
·restrict:一个**数据和并引起"安全违规"计数器的增加的端口安全违规动作。
·shutdown:一个导致接口马上shutdown,并且发送SNMP陷阱的端口安全违规动作。
当一个安全端口处在error-disable状态,你要恢复正常必须得敲入全局下的errdisable recovery cause psecure-violation 命令,或者你可以手动的shut再no shut端口。
这个是端口安全违规的默认动作。
默认的端口安全配置:以下是端口安全在接口下的配置-特性:port-sercurity 默认设置:关闭的。
特性:最大安全mac地址数目默认设置:1特性:违规模式默认配置:shutdown,这端口在最大安全mac地址数量达到的时候会shutdown,并发snmp陷阱。
配置向导:下面是配置端口安全的向导-·安全端口不能在动态的access口或者trunk口上做,换言之,敲port-secure 之前必须的是switchmode acc之后。
·安全端口不能是一个被保护的口。
·安全端口不能是SPAN的目的地址。
·安全端口不能属于GEC或FEC的组。
·安全端口不能属于802.1x端口。
如果你在安全端口试图开启802.1x,就会有报错信息,而且802.1x也关了。
如果你试图改变开启了802.1x的端口为安全端口,错误信息就会出现,安全性设置不会改变。
配置案例:1.在f0/12上最大mac地址数目为5的端口安全,违规动作为默认。
switch#config tEnter configuration commands, one per line. End with CNTL/Z. switch(config)#int f0/12switch(config-if)#swi mode accswitch(config-if)#swi port-secswitch(config-if)#swi port-sec max 5switch(config-if)#endswitch#show port-sec int f0/12Security Enabled:Yes, Port Status:SecureUpViolation Mode:ShutdownMax. Addrs:5, Current Addrs:0, Configure Addrs:02.如何配置f0/12安全mac地址switch(config)#int f0/12switch(config-if)#swi mode accswitch(config-if)#swi port-secswitch(config-if)#swi port-sec mac-add 1111.1111.1111switch(config-if)#endswitch#show port-sec addSecure Mac Address Table------------------------------------------------------------Vlan Mac Address Type Ports---- ----------- ---- -----1 1000.2000.3000 SecureConfigured Fa0/123.配置端口安全超时时间两小时。
switch(config)#int f0/12switch(config)#swi port-sec aging time 1204.端口安全超时时间2分钟,给配置了安全地址的接口,类型为inactivity aging:switch(config-if)#swi port-sec aging time 2switch(config-if)#swi port-sec aging type inactivityswitch(config-if)#swi port-sec aging staticshow port-security inte**ce f0/12可以看状态.其他showshow port-security 看哪些接口启用了端口安全.show port-security address 看安全端口mac地址绑定关系.===================================================================== ============(config-if)#switchport mode access 设置为交换模式(config-if)#switchport port-security 打开端口安全模式(config-if)#switchport port-security violation {protect | restrict | shutdown }(config-if)#switchport port-security mac-address sticky(config-if)#switchport port-security aging static //打开静态映射(config-if)#switchport port-security mac-address sticky **X.**X.**X (config)#arp 1.1.1.1 0001.0001.1111 arpa [建立mac地址和ip地址对应的映射表](config-if)#switchport port-security mac-address 0090.F510.79C1 (config-if)#switchport port-security maximum 1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop (config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 [特定接口丢包]。