CCNP 简单交换安全
CCNP 简单交换安全
1.NTP:网络时间协议
show clock (查看时间)
clock set 时:分:秒 月份 日期 年份(修改时间)
R1(config)# ntp master (成为ntp服务器,默认为8 可修改即直接加数字 。代表从该server处学习时间后,等级加1;若等级为16将不能传递)
R2(config)##ntp server R1的ip地址 (被server同步;当本地被serve同步后,将自动成为次级时钟;可以同步其他设备,前提等级小于16;)
R3(config)#ntp peer 前一个路由器的IP地址(被次级时钟同步)
2.防御mac地址攻击
1.简单的端口安全服务
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access 只有access接口可以配置端口安全服务
Switch(config-if)#switchport port-security 先开启端口安全服务
Switch(config-if)#switchport port-security mac-address
H.H.H 手写mac地址
Switch(config-if)#switchport port-security mac-address
sticky 自动粘连地址
注:以上两种代表该接口已经"记住"该pc的mac地址非记录中的无法连接。
Switch(config-if)#switchport port-security maximum 10 最大地址数量
注:该接口一共可以连接10台不同的pc。
Switch(config-if)#switchport port-security violation protect 修改违约后的处理方案为当非法MAC出现时不转发流量,不关闭接口
Switch(config-if)#switchport port-security violation restrict 修改违约后的处理方案为当非法MAC出现时不转发流量,不关闭接口但同时向网络中的SNMP(简单的网络管理)服务器发送日志。
Switch(config-if)#switchport port-security violation shutdown 修改违约后的处理方案为逻辑关闭,同时也是默认的处理方案;
2.静态cam
switch(config)#mac address-table static aaaa.aaaa.aaaa vlan 1 drop 该mac地址若在vlan1中出将被丢弃
3.vacl 可以基于IP地址或者MAC地址进行访问控制
1)抓流量
core(config)#mac access-list extended ccsp
core(config-ext-macl)#permit host aaaa.aaaa.aaaa any
2)配置VACL
core(config)#vlan access-map ccie 10
core(config-access-map)#match mac address ccsp
core(config-access-map)#action drop
core(config-access-map)#exit
3)调用
core(config)#vlan filter ccie vlan-list 1 该VACL在vlan 1中生效
注:不会影响其他vlan的流量
3、基于时间的ACL表
r1(config)#time-range cisco 创建时间列表cisco
r1(config-time-range)#absolute start 00:00 1 aug 2014 end 00:00 1 aug 2015 定义总时间范围
r1(config-time-range)#periodic daily 9:00 to 12:00
r1(config-time-range)#periodic daily 13:30 to 16:00
r1(config)#access-list 100 deny ip 172.16.10.0 0.0.0.255 any time-range cisco
r1(config)#access-list 100 permit ip any any
4、基于vlan的攻击
PVLAN
主vlan
次vlan—1、社团vlan 2、隔离vlan
通讯规则;
1、隔离vlan和社团vlan不能通讯
2、隔离vlan内PC间不能互访
3、社团vlan内PC间可以互访
4、所有PC均可同主vlan下设备互访
Cisco3560以上含3560交换机可以配置PVLAN;
1)配置时VTP模式必须为透明
2)创建各种vlan间的关联
3)端口需要划分到向对应的vlan中
sw(config)#vlan 2
sw(config-vlan)#private-vlan primary
sw(config-vlan)#exit
sw(config)#vlan 202
sw(config-vlan)#private-vlan isolated
sw(config-vlan)#exit
sw(config)#vlan 203
sw(config-vlan)#private-vlan community
sw(config-vlan)#exit
sw(config)#vlan 2
sw(config-vlan)#private-vlan association 202,203
sw(config)#interface e0/1 主vlan所在接口
sw(config-if)#switchport mode private-vlan promiscuous
sw(config-if)#switchport private-vlan mapping 2 202-203
sw(config)#interface range e0/2 -3 次vlan–隔离vlan
sw(config-if-range)#switchport mode private-vlan host
sw(config-if-range)#switchport private-vlan host-association 2 202
sw(config)#interface range e0/4 -5 次vlan–社团vlan
sw(config-if-range)#switchport mode private-vlan host
sw(config-if-range)#switchport private-vlan host-association 2 203
注:必须在开启路由功能的情况下,才可以工作;
在3350和29系列交换机上无法配置PVLAN,但可以使用端口保护功能;
core(config)#interface f0/1
core(config-if)#switchport protected
被保护接口间不能通讯
按照上面的配置进行,则pc1,pc2仅能与pc4进行访问。pc3,pc4,pc5,可以互相访问。
5.CDP:cisco设备发现协议
sw#show cdp neighbors (查看周围设备)
Device ID Local Intrfce Holdtme Capability Platform Port ID
pc3 Eth 0/2 166 R Linux Uni Eth 0/0
pc2 Eth 0/1 145 R Linux Uni Eth 0/0
pc1 Eth 0/0 150 R Linux Uni Eth 0/0
CDP的流量每60s将传递该直连,其中携带部分敏感信息;故,接入层应该关闭该协议
sw(config)#no cdp run 全局关闭
sw(config)#interface e0/1
sw(config-if)#no cdp enable 关闭某一个接口
6.SSH:安全外壳协议
其中SSH登录的设备IOS版本必须携带字母K,支持安全属性配置
r1(config)#username ccna privilege 15 secret cisco
r1(config)#line vty 0 4
r1(config-line)#login local
在开启远程登录服务后,设备上只要生产秘钥库,即可被SSH登录
r1(config)#ip domain name cisco.com (任意命名)
r1(config)#crypto key generate rsa general-keys 默认生成512长度
r1(config)#crypto key generate rsa general-keys modulus 1024
注:此时设备telnet和SSH登录均可
r1(config)#line vty 0 4
r1(config-line)#transport input ssh 仅允许SSH登录
使用一台路由器来ssh登录另一台路由器
r2#ssh -l ccna 1.1.1.1
Password:
CCNP 简单交换安全相关推荐
- C语言排序算法之简单交换法排序,直接选择排序,冒泡排序
C语言排序算法之简单交换法排序,直接选择排序,冒泡排序,最近考试要用到,网上也有很多例子,我觉得还是自己写的看得懂一些. 简单交换法排序 1 /*简单交换法排序 2 根据序列中两个记录键值的比较结果来 ...
- 新旧版CCNP路由交换考试注意事项
2010年4月26号以后就不能预定旧版CCNP绑定考试,4月26前预定过旧版CCNP考试的考生必须在2010年7月31前完成考试. 请提醒考生注意旧版考试BSCI,BCMSN和Composite(综合 ...
- 关于CCNP 642-813交换题库的问题
最近几天准备CCNP考试,看题库时遇到了几道有争议的题目,根据自己搜索的资料做了如下总结解释: 首先是一道与VTP有关的题目: 对于选项B,相关资料表明domain names 是对大小写敏感的,有兴 ...
- 路由器实验之简单交换实现 DHCP配置
目 录 一.内容 二.目的 三.实验设计思想和流程 四.主要数据结构及符号说明 五.实验体会 附录(源代码及注释) 一.内容 项目1: 在UM_my/UM.v中使用Verilog语言编写一个模块让N ...
- 如何在戴尔M系列交换机上配置简单交换模式
更多精彩文章请关注: 戴尔技术社区 转载于:https://blog.51cto.com/dellhome/704736
- 互联神州CCNA、CCNP、CCSP、CCIE----寒假特惠
互联神州冬季特惠活动<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /&g ...
- 选择排序之简单选择排序
1.引言 一听到选择排序的词第一反应都是要通过选择来排序,那么我们的第一反应是不是对的呢,我们接下来验证一下,了解一下它的定义.简单选择排序:最简单的选择方法是顺序扫描序列中的元素,记住遇到的最小元素 ...
- 物理隔离与数据交换-网闸的设计原理
一.什么是网闸 网闸技术的需求来自内网与外网数据互通的要求,比如政府的电子政务是对公众服务,与互联网连通,而内网的政府办公网络,由于保密的要求,内网若与网连通,则面临来自公网的各种威胁.安全专家给出的 ...
- 物理隔离与数据交换-网闸的设计原理与误区
一.什么是网闸 网闸技术的需求来自内网与外网数据互通的要求,比如政府的电子政务是对公众服务,与互联网连通,而内网的政府办公网络,由于保密的要求,内网若与网连通,则面临来自公网的各种威胁.安全专家给出的 ...
最新文章
- 2-结构体的最后一个成员的定义-C语言中的柔性数组-
- 前端学习(1313):get请求参数
- 图像语义分割 -- UNET++
- Fabric node sdk 1.4简明教程
- R载入需要的程辑包:rJava Error
- Code Review 与 结对编程
- 95-241-100-源码-Flink语义-Flink的exectly-once系列之两阶段提交概述
- 使用C#打造通用的数据库连接类
- velocity 时间显示 时间格式化 时间转化
- 硬件创业者们,如何避免掉到供应链的大坑里爬不出来
- 流式计算storm应用场景简介
- 成功 Root ------ 红米note3
- 还在使用Window原始的CMD界面?教你一招进行界面完美优化
- oa工作任务管理系统设计
- AngularJs基础视频教程 大漠穷秋AngularJs基础教程 AngularJs入门教程
- 使用fetch上传文件失败的解决方案
- 众昂矿业助力萤石氟化工产业链破竹般发展
- useful skew有什么坏处
- C中出现:错误 C1010 在查找预编译头时遇到意外的文件结尾。是否忘记了向源中添加“#include stdafx.h”等头文件
- 更靠近明媚阳光的日子里