Cisco Packet Tracer 思科中交换机端口安全配置与风暴控制
通过MAC地址表记录连接到交换机端口的以太网MAC地址(即网卡号),并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时,端口安全特性会阻止它。
情境分析
非授权的计算机接入网络造成公司信息管理成本增加,不仅影响公司正常用户的网络使用,并且能造成严重的网络安全问题。在接入交换机上配置端口安全功能,利用MAC地址绑定不仅可以解决非授权计算机影响正常网络使用的问题,而且还可以避免恶意的用户利用未绑定MAC地址的端口来实施的MAC地址泛洪攻击。
所需设备:
(1)CISCO3560三层交换机1台。
(2)CISCO2960二层交换机1台。
(3)PC机4台。
(4)直通线4条。
(5)交叉线1条。
(6)Console配置线1条。
实训拓扑,如图5-1-1所示。
图5-1-1 交换机端口安全配置
网络设备和PC机的IP地址及端口信息,如表5-1-1所示。
表5-1-1 网络设备和PC机的IP地址及端口信息表
|
设备 |
端口成员 |
IP地址 |
子网掩码 |
备注 |
|
C3560的Vlan0 |
192.168.1.254 |
255.255.255.0 |
||
|
C3560的Vlan20 |
192.168.2.254 |
255.255.255.0 |
||
|
C3560 |
Fa0/1 |
255.255.255.0 |
trunk |
|
|
C2960的Vlan 10 |
Fa0/1 |
255.255.255.0 |
||
|
Fa0/2 |
255.255.255.0 |
|||
|
C2960的Vlan 20 |
Fa0/3 |
255.255.255.0 |
||
|
Fa0/4 |
255.255.255.0 |
|||
|
C2960 |
Fa0/24 |
255.255.255.0 |
trunk |
|
|
PC1 |
192.168.1.1 |
255.255.255.0 |
mac: 000B.BE24.625A |
|
|
PC2 |
192.168.1.2 |
255.255.255.0 |
mac: 0009.7C90.B8B8 |
|
|
PC3 |
192.168.2.1 |
255.255.255.0 |
mac: 00D0.9777.EA8C |
|
|
PC4 |
192.168.2.2 |
255.255.255.0 |
mac: 0001.43AA.3B92 |
步骤实现
步骤1:按照如图5-1-1所示,连接网络拓扑结构图。
步骤2:按照如表5-1-1所示,配置计算机的IP地址、子网掩码和网关。
步骤3:配置交换机C2960的主机名称,创建vlan10和vlan20,将fa0/1-2划入vlan10,fa0/3-4划入vlan20,将fa0/24配置成trunk。
Switch>enableSwitch#conf tSwitch(config)#hostname C2960 修改主机名为C2960C2960(config)#vlan 10 进入vlanC2960(config-vlan)#exitC2960(config)#vlan 20C2960(config-vlan)#exitC2960(config)#int range f0/1-2 批量进入端口C2960(config-if-range)#switchport mode access 开启访问模式 !将端口设置为访问模式后,此端口才能启用port-security功能C2960(config-if-range)#switchport access vlan 10 把vlan划分到端口里面C2960(config-if-range)#exitC2960(config)#int range f0/3-4C2960(config-if-range)#switchport mode accessC2960(config-if-range)#switchport access vlan 20C2960(config-if-range)#exitC2960(config)#int f0/24C2960(config-if)#switchport mode trunk 开启truck模式,允许所有vlan通过C2960(config-if)#exitC2960(config)#基于中继链路协商的原则,C2960通过配置trunk来向C3560发送DTP(动态中继协议)并与C3560协商中继链路。即只需在C2960设备(或C3560)一端配置trunk就可以实现中继链路协商成功。
步骤4:配置交换机C3560的主机名称,创建Vlan10和vlan20,并Vlan10和vlan20的SVI接口配置IP地址,并启用交换机的路由功能。
Switch>enableSwitch#conf tSwitch(config)#hostname C3560C3560(config)#vlan 10C3560(config-vlan)#exitC3560(config)#vlan 20C3560(config-vlan)#exitC3560(config)#int vlan 10C3560(config-if)#ip address 192.168.1.254 255.255.255.0C3560(config-if)#no shutdownC3560(config-if)#exitC3560(config)#int vlan 20C3560(config-if)#ip address 192.168.2.254 255.255.255.0C3560(config-if)#no shutdownC3560(config-if)#exitC3560(config)#ip routing !三层交换机须启用路由功能才能实现VLAN间通信C3560(config)#步骤5:在交换机C2960上针对不同VLAN的主机配置端口安全。C2960(config)#int range f0/1-2 !进入VLAN10所在端口C2960(config-if-range)#switchport port-security !将f0/1和f0/2端口启用端口安全功能C2960(config-if-range)#switchport port-security maximum 1 !设置端口的最大连接数为1C2960(config-if-range)#switchport port-security violation shutdown!设置违例处理方式为关闭端口C2960(config-if-range)#switchport port-security mac-address sticky!设置基于粘性的安全MAC地址C2960(config-if-range)#exitC2960(config)#int f0/3 !进入f0/3端口C2960(config-if)#switchport port-security !将f0/3端口启用端口安全功能C2960(config-if)#switchport port-security mac-address 00d0.9777.ea8c!将f0/3端口进行MAC地址绑定C2960(config-if)#switchport port-security violation shutdown!设置违例处理方式为关闭端口C2960(config-if)#exitC2960(config)#int f0/4 !进入f0/4端口C2960(config-if)#switchport port-security !将f0/4端口启用端口安全功能C2960(config-if)#switchport port-security mac-address 0001.43aa.3b92!将f0/4端口进行MAC地址绑定C2960(config-if)#switchport port-security violation shutdown!设置违例处理方式为关闭端口C2960(config-if)#exitC2960(config)#基于粘滞的端口安全工作机制是当接口通过自动学习添加了白名单,这时该白名单会以配置的形式保存在交换机上,即便接口关闭后,该接口原有的MAC地址表项删除了,该白名单信息还存在,这样比较安全。
步骤6:验证
C2960#show mac-address-table 查看设备MAC地址表C2960#show port-security 查看端口安全配置
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------
Fa0/1 1 1 0 Shutdown !端口安全已经配置
Fa0/2 1 1 0 Shutdown !端口安全已经配置
Fa0/3 1 1 0 Shutdown !端口安全已经配置
Fa0/4 1 1 0 Shutdown !端口安全已经配置
----------------------------------------------------------------------
C2960#C2960#show port-security interface fa0/1 查看fa0/1的端口配置是否生效
Port Security : Enabled !已开启
Port Status : Secure-up !已生效
Violation Mode : Shutdown !违例就关闭
当端口因违例而被关闭后,要恢复端口状态有两种方法:
(1)在全局配置模式下使用命令errdisable recovery来将接口从错误状态恢复过来。(模拟器不支持)
(2)先将已关闭端口配置shutdown之后再配置no shutdown即可。
安全的MAC地址类型有三种:
(1)静态安全的MAC地址:手工配置,存储在MAC地址表内并加入到交换机的配置文件中(running-config)。
(2)动态安全的MAC地址:动态学习,只存储在MAC地址表中,交换机重启之后丢失。
(3)粘性(sticky)安全的MAC地址:可以动态学习,也可以手工配置,存储在MAC地址表内并加入到交换机的配置文件中(running-config),如果配置被保存,即使交换机重启也无需重新配置。
当安全违例产生时,处理方式有3种:
(1)protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。
(2)restrict:当违例产生时,将发送一个trap通知。
(3)shutdown:当违例产生时,将关闭端口并发送一个trap通知。
2.MAC地址绑定
Mac地址是一台交换机发送给一台主机的信息,是定向回复的,一般都是静态端口类型
(静态端口类型情况下,发送的信息只有自己知道,别人无法改变)
二、交换机的风暴控制
(1)概述
端口接收到过量的广播、未知名多播或未知名单播包时,数据包的广播风暴就产生,导致报文传输延时增大和网络变慢。
可以分别针对广播、未知名多播或未知名单播数据流进行风暴控制。当接口接收到的广播、未知名多播或未知名单播包的速率超过所设定的阀值时,设备将只允许通过所设定阀值带宽的报文,超出阀值部分的报文将被丢弃,直到数据流恢复正常,从而避免过量的泛洪报文进入局域网形成风暴。
(2)配置风暴控制
缺省情况下,针对广播、多播和未知名单播的风暴控制功能均被关闭。
在接口配置模式下配置风暴控制:
Switch(config)#
Switch(config)#in f0/1 进入端口
Switch(config-if)#sw mo a 开启端口访问模式
Switch(config-if)#storm-control broadcast level 20 打开交换机风暴控制功能,允许通过的带宽为20%
课堂训练
(1)在交换机上的端口fastethernet 0/1上应用端口安全功能,设置最大地址个数为2,设置违例方式为shutdown。
(2)为交换机上的端口fastethernet 0/10上应用端口安全功能,并配置一个安全地址:1d01.1f0c.017a。
学习小结:
交换机端口安全模式配置:
Switch(config)#in f 0/1
Switch(config-if)#sw mo a
Switch(config-if)#sw mo tSwitch(config-if)#switchport port-security 开启交换机的端口安全模式Switch(config-if)#switchport port-security maximum 1 设置端口最大连接数为1 PS:maximum value value 安全地址的最大值,范围为1—128Switch(config-if)#sw port-security violation ? 违规处理方式protect Security violation protect mode 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。restrict Security violation restrict mode 发送通知shutdown Security violation shutdown mode 发送通知并关闭端口
Switch(config-if)#sw port-security violation shutdown 设置违规处理方式为关闭端口Switch(config-if)#sw port-security mac-address sticky 设置基于粘性的mac地址Switch(config-if)#sw port-security mac-address 00d0.9777.ea8c 将端口进行mac地址绑定(2)配置保护端口switch(config-if)# switchport protected(3)查看保护端口switch# show interfaces switchport交换机风暴控制:
Switch(config)#
Switch(config)#in f0/1 进入端口
Switch(config-if)#sw mo a 开启端口访问模式
Switch(config-if)#storm-control broadcast level 20 打开交换机风暴控制功能,允许通过的带宽为20%每日一言:
一年中和一生中的秋天,时光很短暂,但是更加晴朗而缺少变化。
Cisco Packet Tracer 思科中交换机端口安全配置与风暴控制相关推荐
- 计网 | Cisco Packet Tracer下模拟交换机及VLAN配置实验记录
实验目的和要求 熟悉交换机各种命令模式和基本命令 学习交换机的基本配置,制作网络拓扑图(1台交换机.2台PC),2台PC能够ping通(截图). 截图网络拓扑图(2台PC),2台pc机分别用连通线和交 ...
- Cisco Packet Tracer思科模拟器交换机的VTP技术
VTP即Vlan的中继协议.VTP是通过网络保持VLAN配置统一性.VTP实现了系统化管理,方便管理员增加.删除和调整的VLAN的操作.只要把交换机加入到同一个VTP域中,工作在服务器模式的交换机会自 ...
- Cisco Packet Tracer模拟器中路由器的设置
路由器一般都提供了许多模块化功能,通过对模块的添加.更换,以支持不断提高的网络带宽要求和服务质量.路由器添加模块就像是计算机添加了一张网卡一样,可以增加网络的接口.一个路由器,模块越多,功能越多,价格 ...
- Cisco Packet Tracer 实验:交换机带外和带内管理实验报告
由于是实验报告,语言比较严肃哈哈.最近开始在CSDN写博客,请大家持续关注我,我会坚持写很多高质量的博客! 同时,希望CSDN社区越来越棒! 实验目的 掌握交换机带外和带内管理 实验内容 任务1:实现 ...
- 网络——Cisco Packet Tracer 思科模拟器组网实验
Cisco Packet Tracer介绍 Cisco Packet Tracer是Cisco公司针对CCNA认证开发的一个用来设计.配置和故障排除网络的模拟软件,非常适合网络设备初学者使用. Cis ...
- Cisco Packet Tracer 思科网络环境模拟器(留言邮箱就好,看到会回的哦~)
程序员,无论是前端和后端,网络方面的知识也是要学习的.那么Cisco Packet Tracer 也是必备工具,所以这里我提供一下思科的模拟器+汉化包,供小伙伴使用,一起进步. 一. 汉化步骤 1. ...
- Cisco Packet Tracer使用方法和路由器基本配置
Cisco Packet Tracer 是由Cisco公司发布的一个辅助学习工具,为学习思科网络课程的初学者去设计.配置.排除网络故障提供了网络模拟环境.用户可以在软件的图形用户界面上直接使用拖曳方法 ...
- Cisco Packet Tracer入门--三层交换机局域网搭建+DHCP配置教程
在文章Cisco Packet Tracer入门–三层交换机局域网搭建教程的基础上进行操作 搭建 一.实验目标: 三层交换机负责作为局域网的默认网关和DHCP 目的:模拟公司网络分布,公司A有三个部分 ...
- Cisco packet tracer ASA5500系防火墙的基本配置
原文链接: https://blog.csdn.net/weixin_44907813/article/details/90444907: 原文声明:本文为博主原创文章,遵循 CC 4.0 BY-SA ...
最新文章
- java连接mysql8
- 在windows环境下基于sublime text3的node.js开发环境搭建
- ASP.NET MVC 5 使用autofac实现DI
- 建了个龙悦居社区网www.long360.net,图片独立部署
- 即时通讯音视频开发(五):认识主流视频编码技术H.264
- mds聚类matlab,MDS图示聚类结果
- 机器学习实战-集成学习-23
- 第一张信用卡,该选哪家的?
- Ubuntu 12.04下安装Oracle Express 11gR2
- element UI框架Fr Cover主题插画下载模板V2.0
- 深入浅出mybatis之入门使用
- 数字图像处理 采样定理_数字图像处理实验合集
- ofo 列入被执行人;摩拜 LV 跨界合作;iPhone X 遭黑客攻击 | 极客头条
- linux下的web安全机制,linux http服务器web网页的不同安全机制
- 计算机科学概论_第1章_数据储存
- 凸性与久期在python中实现
- IBM JDK官方下载地址
- 淘宝电商需求文档的书写
- [MFC] CList
- 华为MatePad Pro和华为MatePad区别