精华内容
下载资源
问答
  • 交换机端口安全配置的步骤
    2022-05-14 06:49:38

    采用如下的思路配置端口安全:

    1.      配置VLAN,实现二层转发功能。

    2.      配置端口安全功能,实现学习到的MAC地址表项不老化。

    操作步骤
    1.      在Switch上创建VLAN,并把接口加入VLAN

    #创建VLAN。

    <HUAWEI> system-view
    [HUAWEI] sysname Switch
    [Switch] vlan 10
    [Switch-vlan10] quit

    [Switch] interface gigabitethernet 1/0/1
    [Switch-GigabitEthernet1/0/1] port link-type access
    [Switch-GigabitEthernet1/0/1] port default vlan 10
    [Switch-GigabitEthernet1/0/1] quit


    2.      配置GE1/0/1接口的端口安全功能。

    # 使能接口Sticky MAC功能,同时配置MAC地址限制数。

    [Switch] interface gigabitethernet 1/0/1
    [Switch-GigabitEthernet1/0/1] port-security enable
    [Switch-GigabitEthernet1/0/1] port-security mac-address sticky
    [Switch-GigabitEthernet1/0/1] port-security max-mac-num 1


    3.      验证配置结果

    将gi1/0/1下换成其他设备,无法访问网络。

    更多相关内容
  • 本篇文章主要讲解网络安全技术的实现,主要是交换机端口安全模式的启用与配置,以及网络风暴的命令,每条命令都有详细的说明与解析,望能帮助到你。

    通过MAC地址表记录连接到交换机端口的以太网MAC地址(即网卡号),并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时,端口安全特性会阻止它。

    情境分析

    非授权的计算机接入网络造成公司信息管理成本增加,不仅影响公司正常用户的网络使用,并且能造成严重的网络安全问题。在接入交换机上配置端口安全功能,利用MAC地址绑定不仅可以解决非授权计算机影响正常网络使用的问题,而且还可以避免恶意的用户利用未绑定MAC地址的端口来实施的MAC地址泛洪攻击。

    所需设备:

    (1)CISCO3560三层交换机1台。

    (2)CISCO2960二层交换机1台。

    (3)PC机4台。

    (4)直通线4条。

    (5)交叉线1条。

    (6)Console配置线1条。

    实训拓扑,如图5-1-1所示。

    图5-1-1  交换机端口安全配置

    网络设备和PC机的IP地址及端口信息,如表5-1-1所示。

    表5-1-1 网络设备和PC机的IP地址及端口信息表

    设备

    端口成员

    IP地址

    子网掩码

    备注

    C3560的Vlan0

    192.168.1.254

    255.255.255.0

    C3560的Vlan20

    192.168.2.254

    255.255.255.0

    C3560

    Fa0/1

    255.255.255.0

    trunk

    C2960的Vlan 10

    Fa0/1

    255.255.255.0

    Fa0/2

    255.255.255.0

    C2960的Vlan 20

    Fa0/3

    255.255.255.0

    Fa0/4

    255.255.255.0

    C2960

    Fa0/24

    255.255.255.0

    trunk

    PC1

    192.168.1.1

    255.255.255.0

    mac: 000B.BE24.625A

    PC2

    192.168.1.2

    255.255.255.0

    mac: 0009.7C90.B8B8

    PC3

    192.168.2.1

    255.255.255.0

    mac: 00D0.9777.EA8C

    PC4

    192.168.2.2

    255.255.255.0

    mac: 0001.43AA.3B92

    步骤实现

    步骤1:按照如图5-1-1所示,连接网络拓扑结构图。

    步骤2:按照如表5-1-1所示,配置计算机的IP地址、子网掩码和网关。

    步骤3:配置交换机C2960的主机名称,创建vlan10和vlan20,将fa0/1-2划入vlan10,fa0/3-4划入vlan20,将fa0/24配置成trunk。

    Switch>enable
    
    Switch#conf t
    
    Switch(config)#hostname C2960  修改主机名为C2960
    
    C2960(config)#vlan 10  进入vlan
    
    C2960(config-vlan)#exit
    
    C2960(config)#vlan 20
    
    C2960(config-vlan)#exit
    
    C2960(config)#int range f0/1-2  批量进入端口
    
    C2960(config-if-range)#switchport mode access 开启访问模式 
    
    !将端口设置为访问模式后,此端口才能启用port-security功能
    
    C2960(config-if-range)#switchport access vlan 10  把vlan划分到端口里面
    
    C2960(config-if-range)#exit
    
    C2960(config)#int range f0/3-4
    
    C2960(config-if-range)#switchport mode access
    
    C2960(config-if-range)#switchport access vlan 20
    
    C2960(config-if-range)#exit
    
    C2960(config)#int f0/24
    
    C2960(config-if)#switchport mode trunk  开启truck模式,允许所有vlan通过
    
    C2960(config-if)#exit
    
    C2960(config)#

    基于中继链路协商的原则,C2960通过配置trunk来向C3560发送DTP(动态中继协议)并与C3560协商中继链路。即只需在C2960设备(或C3560)一端配置trunk就可以实现中继链路协商成功。

    步骤4:配置交换机C3560的主机名称,创建Vlan10和vlan20,并Vlan10和vlan20的SVI接口配置IP地址,并启用交换机的路由功能。

    Switch>enable
    
    Switch#conf t
    
    Switch(config)#hostname C3560
    
    C3560(config)#vlan 10
    
    C3560(config-vlan)#exit
    
    C3560(config)#vlan 20
    
    C3560(config-vlan)#exit
    
    C3560(config)#int vlan 10
    
    C3560(config-if)#ip address 192.168.1.254 255.255.255.0
    
    C3560(config-if)#no shutdown
    
    C3560(config-if)#exit
    
    C3560(config)#int vlan 20
    
    C3560(config-if)#ip address 192.168.2.254 255.255.255.0
    
    C3560(config-if)#no shutdown
    
    C3560(config-if)#exit
    
    C3560(config)#ip routing             !三层交换机须启用路由功能才能实现VLAN间通信
    
    C3560(config)#
    
    步骤5:在交换机C2960上针对不同VLAN的主机配置端口安全。
    
    C2960(config)#int range f0/1-2                           !进入VLAN10所在端口
    
    C2960(config-if-range)#switchport port-security       !将f0/1和f0/2端口启用端口安全功能
    
    C2960(config-if-range)#switchport port-security maximum 1  !设置端口的最大连接数为1
    
    C2960(config-if-range)#switchport port-security violation shutdown
    
                                                                 !设置违例处理方式为关闭端口
    
    C2960(config-if-range)#switchport port-security mac-address sticky
    
                                                           !设置基于粘性的安全MAC地址
    
    C2960(config-if-range)#exit
    
    C2960(config)#int f0/3                                   !进入f0/3端口
    
    C2960(config-if)#switchport port-security          !将f0/3端口启用端口安全功能
    
    C2960(config-if)#switchport port-security mac-address 00d0.9777.ea8c
    
                                                              !将f0/3端口进行MAC地址绑定
    
    C2960(config-if)#switchport port-security violation shutdown
    
                                                                !设置违例处理方式为关闭端口
    
    C2960(config-if)#exit
    
    C2960(config)#int f0/4                                    !进入f0/4端口
    
    C2960(config-if)#switchport port-security          !将f0/4端口启用端口安全功能
    
    C2960(config-if)#switchport port-security mac-address 0001.43aa.3b92
    
                                                              !将f0/4端口进行MAC地址绑定
    
    C2960(config-if)#switchport port-security violation shutdown
    
                                                              !设置违例处理方式为关闭端口
    
    C2960(config-if)#exit
    
    C2960(config)#

    基于粘滞的端口安全工作机制是当接口通过自动学习添加了白名单,这时该白名单会以配置的形式保存在交换机上,即便接口关闭后,该接口原有的MAC地址表项删除了,该白名单信息还存在,这样比较安全。

    步骤6:验证

    C2960#show mac-address-table   查看设备MAC地址表
    
    C2960#show port-security   查看端口安全配置
    Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
    (Count) (Count) (Count)
    --------------------------------------------------------------------
    Fa0/1 1 1 0 Shutdown               !端口安全已经配置
    Fa0/2 1 1 0 Shutdown               !端口安全已经配置
    Fa0/3 1 1 0 Shutdown               !端口安全已经配置
    Fa0/4 1 1 0 Shutdown               !端口安全已经配置
    ----------------------------------------------------------------------
    C2960#
    
    C2960#show port-security interface fa0/1  查看fa0/1的端口配置是否生效
    Port Security : Enabled                  !已开启
    Port Status : Secure-up                  !已生效
    Violation Mode : Shutdown                !违例就关闭
    

    当端口因违例而被关闭后,要恢复端口状态有两种方法:

    (1)在全局配置模式下使用命令errdisable recovery来将接口从错误状态恢复过来。(模拟器不支持)

    (2)先将已关闭端口配置shutdown之后再配置no shutdown即可。

    安全的MAC地址类型有三种:

    (1)静态安全的MAC地址:手工配置,存储在MAC地址表内并加入到交换机的配置文件中(running-config)。

    (2)动态安全的MAC地址:动态学习,只存储在MAC地址表中,交换机重启之后丢失。

    (3)粘性(sticky)安全的MAC地址:可以动态学习,也可以手工配置,存储在MAC地址表内并加入到交换机的配置文件中(running-config),如果配置被保存,即使交换机重启也无需重新配置。

    当安全违例产生时,处理方式有3种:

    (1)protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。

    (2)restrict:当违例产生时,将发送一个trap通知。

    (3)shutdown:当违例产生时,将关闭端口并发送一个trap通知

    2.MAC地址绑定

    Mac地址是一台交换机发送给一台主机的信息,是定向回复的,一般都是静态端口类型

    (静态端口类型情况下,发送的信息只有自己知道,别人无法改变)

    二、交换机的风暴控制

    (1)概述

    端口接收到过量的广播、未知名多播或未知名单播包时,数据包的广播风暴就产生,导致报文传输延时增大和网络变慢。

    可以分别针对广播、未知名多播或未知名单播数据流进行风暴控制。当接口接收到的广播、未知名多播或未知名单播包的速率超过所设定的阀值时,设备将只允许通过所设定阀值带宽的报文,超出阀值部分的报文将被丢弃,直到数据流恢复正常,从而避免过量的泛洪报文进入局域网形成风暴。

    (2)配置风暴控制

    缺省情况下,针对广播、多播和未知名单播的风暴控制功能均被关闭。

    在接口配置模式下配置风暴控制:

    Switch(config)#
    Switch(config)#in f0/1  进入端口
    Switch(config-if)#sw mo a 开启端口访问模式
    Switch(config-if)#storm-control broadcast level 20 
     打开交换机风暴控制功能,允许通过的带宽为20%
    

    课堂训练

    (1)在交换机上的端口fastethernet 0/1上应用端口安全功能,设置最大地址个数为2,设置违例方式为shutdown。

    (2)为交换机上的端口fastethernet 0/10上应用端口安全功能,并配置一个安全地址:1d01.1f0c.017a。

    学习小结:

    交换机端口安全模式配置:
    Switch(config)#in f 0/1
    Switch(config-if)#sw mo a
    Switch(config-if)#sw mo t
    
    Switch(config-if)#switchport port-security  开启交换机的端口安全模式
    
    Switch(config-if)#switchport port-security maximum 1  设置端口最大连接数为1  
     PS:maximum value    value  安全地址的最大值,范围为1—128
    
    Switch(config-if)#sw port-security violation ?  违规处理方式
    
      protect   Security violation protect mode   当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。
      restrict  Security violation restrict mode  发送通知
      shutdown  Security violation shutdown mode  发送通知并关闭端口
    Switch(config-if)#sw port-security violation shutdown  设置违规处理方式为关闭端口
    
    Switch(config-if)#sw port-security mac-address sticky  设置基于粘性的mac地址
    
    Switch(config-if)#sw port-security mac-address 00d0.9777.ea8c  将端口进行mac地址绑定
    
    
    (2)配置保护端口
    
    switch(config-if)# switchport protected
    
    (3)查看保护端口
    
    switch# show interfaces switchport
    
    交换机风暴控制:
    Switch(config)#
    Switch(config)#in f0/1  进入端口
    Switch(config-if)#sw mo a 开启端口访问模式
    Switch(config-if)#storm-control broadcast level 20 
     打开交换机风暴控制功能,允许通过的带宽为20%
    
    

    每日一言:

    一年中和一生中的秋天,时光很短暂,但是更加晴朗而缺少变化。

    展开全文
  • 配置交换机端口安全实验

    千次阅读 2020-05-21 17:22:44
    交换机的端口安全配置 实验目的 掌握交换机的端口安全功能,控制用户的安全接入 实验拓扑 实验原理 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有...

    实验名称
    交换机的端口安全配置

    实验目的
    掌握交换机的端口安全功能,控制用户的安全接入

    实验拓扑
    在这里插入图片描述
    实验原理

    • 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。
    • 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。
    • 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可
      以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。
    • 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种:
      • protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全
        地址中的任何一个)的包。
      • restrict 当违例产生时,将发送一个Trap通知。
      • shutdown 当违例产生时,将关闭端口并发送一个Trap通知。
      • 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来
        将接口从错误状态中恢复过来

    实验步骤

    首先给三台PC机配上IP地址和掩码
    这里用192.168.0.0/24的网段

    二层交换机Switch0

    Switch(config)#int f0/1
    Switch(config-if)#switchport mode access 
    Switch(config-if)#switchport port-security       //开启端口安全,默认是关闭的
    Switch(config-if)#switchport port-security maximum 1      //指定最大连接数为 1,默认 128
    Switch(config-if)#switchport port-security violation shutdown       //指定违例后端口关闭
    

    实验验证
    PC2 ping PC0或PC1的的其中一台是可以 ping 通的,若PC2 ping 过PC0之后再 ping PC1就会发现集线器连接交换机的端口已经down掉了
    或者集线器下任意一台PC机 ping 向交换机之后,另一台PC机再 ping 交换机也是会down掉。如图所示
    在这里插入图片描述
    连接交换机的端口down掉之后PC0和PC1是可以互相 ping 通的,但是两台都不能ping向交换机

    注意事项
    违例后有三种选项,第一种 restrict 为丢包,不转发该数据包、第二种 protect 为丢包,并返回信息告知、第三种 shutdown 为关闭该端口,可在全局模式下使用 errdisable recovery 命令将其恢复为 UP 状态(模拟器恢复不了)

    展开全文
  • 实验拓扑: 实验目标: 理解端口安全的基本命令 实验步骤: 1、配置MAC地址静态绑定; 2、配置端口MAC地址粘滞;

    实验拓扑:

    实验目标:

    理解端口安全的基本命令

    实验步骤:

    1、配置MAC地址静态绑定;

    2、配置端口MAC地址粘滞;

    3、调整端口安全默认参数。

    实验配置:

    首先,配置所有PC的IP地址:

    配置PC0的IP地址:

    配置PC1的IP地址 :

     配置PC2的IP地址 :

    配置PC3的IP地址 : 

    配置PC4的IP地址 : 

    配置PC5的IP地址 : 

     1、配置端口MAC地址静态绑定

    PC0测试PC2: 

    2、更换PC(相当于更换MAC地址):用fa0/1链接测试机PC1

    此时的拓扑将变为 

    PC1测试PC2: 

    此时,PC1是ping不通PC2的。

    3、端口安全相关检查命令

     SW1#show port-security

     SW1#show port-security address

     SW1#show port-security interface fa0/1

    4、配置端口粘滞 

    (此处省略部分输出) 

    SW1#show run inter fa0/3(此命令PT模拟器不支持,但此命令很重要) 

     5、更改端口安全默认参数

     更换PC(相当于更换MAC地址):用fa0/1链接测试机PC0

    此时的拓扑将变为 

    此时,PC0与SW1之间是不连通的

    那么我们需要重新打开端口 

    然后,PC2测试PC0: 

    PC3测试PC0: 

    用SW2的fa0/3连接测试机PC4(相当于更换MAC地址):

    此时拓扑图将变为:

    PC4测试PC0: 

     PC3测试PC0:

     到此,实验十五:配置交换机端口安全,实验完

    展开全文
  • 一、前言     同系列前几篇:         网络设备配置–1、配置交换机enable、console、telnet密码         网络...而我们可以通过配置交换机端口安全可以一定防范这些攻击,配置端口安全可以只
  • 交换机端口镜像配置(华为、华三)端口镜像应用场景设定华三交换机配置端口镜像华为交换机配置端口镜像 端口镜像应用场景设定 某企业近期为了加强网络安全防护,新购置了一台IDS网络安全检测设备,IDS检测设备的配置...
  • 1)要求控制交换机端口安全,禁止私接网络设备 2)PC1可以ping通Server1,PC2无法ping通Server1 1.2 方案 实验拓扑如图-1所示,搭建实验环境时首先确保PC1正常通信,再加入PC2。 图-1 1.3 步骤 实现此案例需要按照...
  • 交换机端口安全技术的配置 Cisco

    千次阅读 2020-03-18 20:19:37
    实验目的:掌握交换机端口安全功能,控制用户的安全接入 实验背景:公司网络采用个人固定IP上网方案,为了防止公司内部用户IP地址借用、冒用,私自接入交换机等违规行为,同时防止公同内部的网络攻击和破坏行为,...
  • 在现今的企业网络中,信息安全的威胁从某种程度上讲,来自企业内部的安全威胁高于企业外部的安全威胁,比如:无控制行为的任意主机接入、移动存储...交换机端口安全属于数据链路层安全策略,也是多众企业网络接入...
  • 1.3.20 交换机端口安全

    2022-07-04 13:42:32
    交换机端口安全
  • 交换机上应用以下基本安全措施可确保交换机的安全,当然,事在人为,没有绝对安全的作法,以下是安全配置的基本方法步骤,基本功是要做的。请看理论,文档有详细的配置方法,是从思科教程里面整理出来的。 为设备...
  • 交换机端口加入vlan并且改好vlan模式-5.验证通信 交换机创建vlan 交换机1 system-view //进入系统视图 [Huawei]sysname 9 //改名子为9 方便查看代表9楼 [9]vlan batch 1 to 10 //创建1到10 的vlan号 具体需要...
  • 组网需求 如图1-1配置Host SSH 客户端与Switc 建立本地连接Host 采用SSH 协议登录到 Switc 上以保证数据信息交换的安全SSH 用户采用的认证方 式为password 认证 2. 组网图 SSH client SSH server Vlan-int1 192.168...
  • 交换机端口配置与管理 二、实验目的 1.认识Packet Tracer软件 2.交换机的基本配置与管理 三、实验内容和要求 1.认识Packet Tracer软件 2.交换机的基本配置与管理 3.新建Packet Tracer拓扑图 4.了解...
  • 一、说明『环境配置参数』1. PC1接在交换机E0/1端口,IP地址1.1.1.1/242....通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。2.按照镜像的不同方式进行配置:1)基于端口的镜像2)基于流的镜像二、...
  • 华为交换机安全端口实验

    千次阅读 2020-12-13 13:42:48
    将设备端口学习到的MAC地址变为安全MAC地址(分为两类:安全动态MAC地址和Sticky安全地址,这两类地址是设备信任的地址),以阻止除了安全动态MAC和静态MAC之外的主机通过本接口和交换机通信。 安全MAC地址类型: 1....
  • 2016计算机网络技术实验实训教程:实验一交换机端口安全配置计算机网络技术实验实训教程网络安全实验实验一 交换机端口安全配置实验名称:交换机端口安全配置。实验目的:掌握交换机的端口安全功能。技术原理...
  • 掌握交换机基本信息的配置管理
  • CISCO交换机端口镜像配置

    千次阅读 2017-11-12 16:34:00
    镜像口配置 大多数交换机都支持镜像技术,这可以对交换机进行方便的故障诊断。我们称之为“mirroring ”或“Spanning ”。镜像是将交换机某个端口的流量拷贝到另一端口(镜像端口),进行监测。Cisco3550可以配置2个...
  • Cisco交换机端口安全

    2017-11-15 16:45:00
    Cisco交换机端口安全 通过端口设置,可以限制允许访问交换机上某个端口的MAC地址以及IP(可选)来实现严格控制对该端口的输入,最终确保网络接入安全. 配置网络安全时应该注意如下问题: 1.下面四种端口不能设置: a....
  • 1. 实验内容:某公司新进一批交换机,在投入网络以后要进行初始配置与管理,你作为网络管理员,对交换机进行端口配置与管理; 2.实验要求: 交换机的管理方式基本分为两种:带内管理和带外管理。 (1)通过...
  • 一、实验目的:在交换机f0/1端口上设置安全配置,使PC1和PC2两台机中只有一台机器能够正常通信,另一台通信时端口则会自动关闭 二、拓扑图如下 三、实验步骤: 1、先给各台主机配置IP地址(PC1、PC2、PC3)...
  •  掌握交换机端口安全功能,控制用户的安全接入。 背景描述  你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的 IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工...
  • 交换机VLAN配置

    千次阅读 2022-04-26 18:47:19
    交换机VLAN配置 一:什么是VLAN 一:什么是VLAN VLAN(Virtual LAN),翻译成中文是“虚拟局域网”。LAN可以是由少数几台家用计算机构成的网络,也可以是数以百计的计算机构成的企业网络。VLAN所指的LAN特指使用...
  • 交换机配置端口隔离示例

    千次阅读 2020-12-23 16:29:08
    端口隔离功能为用户提供了更安全、更灵活的组网方案。 端口隔离分为二层隔离三层互通和二层三层都隔离两种模式: Ⅰ如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离...
  • 当为安全端口(打开了端口安全功能的端口)配置了一些安全地址后,则除了源地址为这些安全地址的包外,这个端口将不转发其它任何报文。此外,还可以限制一个端口上能包含的安全地址最大个数,如果将最大个数设置为1,...
  • 一、实验名称 ...了解交换机端口配置命令行 1.新建Packet Tracer拓扑图 2.了解交换机端口配置命令行 2.交换机的Telnet远程登陆配置 1.新建Packet Tracer拓扑图 2.配置交换机管理IP地址 3.配置用...
  • 原标题:交换机端口安全的认识理解与特性,MAC绑定与限制等 大家...实验参考配置命令交换机端口安全特性,可以让配置交换机端口,使得非法的MAC 地址的设备接入时,交换机自动关闭接口或者拒绝非法设备接入,也可以...
  • 端口安全原理介绍及配置命令

    千次阅读 2021-06-25 09:37:49
    可在端口上配置端口安全技术,使该端口只允许特定的设备访问。 端口安全技术通过MAC地址定义了允许访问的设备。 允许访问的设备的MAC地址可以手工配置或通过交换机自动“学习”。 端口上能配置的安全MAC...
  • 1:配置要求 给服务器单独规划一个网段和VLAN,给计算机PC1和PC3单独规划一个网段和VLAN,计算机PC2和PC4、Laptop单独规划一个网段和VLAN,并在S1、S2两个核心交换机上划分相应的VLAN,分配相应的地址,并要求: 1...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 14,135
精华内容 5,654
热门标签
关键字:

交换机端口安全配置的步骤