安全的路由交换--端口安全
2019/5/30 - - -
此文章是关于在思科交换机上启用交换机端口安全特性,起到防止mac地址欺骗和mac地址泛洪的作用
实验环境:在eve中模拟真实环境,三台交换机,其中两台交换模拟pc ,和一台路由器(模拟pc)
eve软件的使用,请移步到这篇文章,点击此链接–>《eve的使用》
实验拓扑:
实验配置:
首先使用连接工具连接设备
端口安全配置
防止mac地址泛洪的配置
思路:限制mac地址的数量,配置接口允许的最大活跃地址数量
用到来模拟的设备:switch、pc-1、pc-2
switch上的配置
enable 由用户模式进入特权模式
configure terminal 由特权模式进入全局配置模式
interface vlan 1 由全局模式进入vlan 1
ip address 192.168.1.100 255.255.255.0 给switch的vlan 1 配置一个IP地址
no shutdown 开启
exit 退回到全局模式
interface e0/1 由全局模式进入要做端口安全的e0/1端口
switchport mode access 设置为模式为access
do show interfaces e0/1 switchport 查看接口模式,是否为access模式
switchport port-security 启用端口安全
注:启用端口安全的接口不能是动态协商(dynamic)模式,必须配置接口为接入(Access)或干道(Trunk)模式
switchport port-security violation (违规模式) 配置违规模式,未配置默认为shutdown模式
switchport port-security violation restrict 自己可进行选择,这里配置为restrict
三种违规后的模式:
shutdown :端口成为err-disable 状态,相当于关闭端口,默认处理方式。
protect :将违规的MAC地址的分组丢弃,但端口处于up状态,交换机不记录违规分组。
restrict:将违规的mac地址的分组丢弃,但端口处于up状态,交换机记录违规分组。
switchport port-security maximum 数目 配置接口允许的最大活跃地址数量(默认允许的mac地址数目为1个)
switchport port-security maximum 2
这里设置为2个,pc-1的e0/1一个mac地址,加上vlan 1 一个mac地址
此时,pc-1是可以ping通switch的,而pc-2是不可以ping通switch的,因为限定mac地址数目的数量正好限制了pc-2,
如果想要pc-2可以ping通,可以把mac地址数目的数量修改的大一点,就发现可以ping通了。
do show mac address-table 查看mac地址与端口的对应关系
do show port-security interface e0/1 查看端口安全的行为(属性),最后一行是记录的违规次数。
扩展:
如果违规模式设置为了shutdown模式,一旦违规,端口会成为err-disable状态,相当于关闭端口,默认处理方式
开启方法:
第一种手动开启
shutdown
no shutdown
第二种自动开启
设置err-disable计时器,端口进入err-disable状态时开始计时,计时器超出后端口状态自动恢复
errdisable recovery cause psecure-violation
errdisable recovery interval 时间(s/秒,可以调整在30-86400秒,缺省是300秒)
pc-1上的配置
enable 由用户模式进入特权模式
configure terminal 由特权模式进入全局配置模式
interface e0/1 进入与switch相连的接口
spanning-tree portfast edge 启用端口快速转发,不会参与生成树的计算
switchport mode access 配置静态
no spanning-tree vlan1 关闭vlan1的生成树
vtp mode transparent 配置为透明模式
interface vlan 1 由全局模式进入vlan 1
ip address 192.168.1.1 255.255.255.0 给pc-1的vlan 1 配置一个IP地址
no shutdown 开启
do ping 192.168.1.100 ping一下switch
pc-2上的配置
enable 由用户模式进入特权模式
configure terminal 由特权模式进入全局配置模式
interface e0/2 进入与pc-1相连的接口
spanning-tree portfast edge 启用端口快速转发,不会参与生成树的计算
switchport mode access 配置静态
no spanning-tree vlan 1 关闭vlan1的生成树
vtp mode transparent 配置为透明模式
interface vlan 1 由全局模式进入vlan 1
ip address 192.168.1.2 255.255.255.0 给pc-2的vlan 1 配置一个IP地址
no shutdown 开启
do ping 192.168.1.100 ping一下switch
防止mac地址欺骗的配置
思路:配置静态mac地址的绑定、防止外来人员假冒。为防止真实环境中手工绑定静态mac地址的工作量增大,配置端口安全的粘连特性,将交换机学习到的mac地址加入到运行配置中,形成绑定关系
用到来模拟的设备:switch、pc-3
switch上的配置
enable 由用户模式进入特权模式
configure terminal 由特权模式进入全局配置模式
interface e0/0 由全局模式进入要做端口安全的e0/0端口
switchport mode access 设置为模式为access
do show interfaces e0/0 switchport 查看接口模式,是否为access模式
switchport port-security 启用端口安全
switchport port-security violation (违规模式) 配置违规模式,未配置默认为shutdown模式
switchport port-security violation restrict 自己可进行选择,这里配置为restrict
switchport port-security mac-address mac地址 配置静态绑定的mac地址,此mac地址为pc-3上与switch相连e0/0的mac地址
switchport port-security mac-address sticky 配置端口安全的粘连特性
do show mac address-table 查看mac地址与端口的对应关系
do show port-security interface e0/0 查看端口安全的行为(属性),最后一行是记录的违规次数。
pc-3上的配置
enable 由用户模式进入特权模式
configure terminal 由特权模式进入全局配置模式
interface e0/0 由全局模式进入要做端口安全的e0/0端口
ip address 192.168.1.3 255.255.255.0 给pc-3配置一个ip地址
no shutdown 开启
此时pc-3来ping switch 是通的
show interfaces e0/0 查看一下mac地址
mac-address mac地址 修改mac地址
mac-address aabb.cc00.3001 这里原来的mac地址为aabb.cc00.3000 ,现在改为aabb.cc00.3001
做了手动静态mac地址绑定后,修改完mac地址再去ping switch,会发现不通了。
做了粘连特性后,再去ping,会发现又是通的,如果不通,就把e0/0的最大连接数的mac地址数目设的大一点,会发现ping通了。
扩展:
配置端口安全的老化时间,让交换机删除一段时间内没有流量的mac地址
switchport port-security aging time 10 (1~1440分钟)
switchport port-security aging type 模式
absolute 参数为老化时间到期后,删除所有mac地址并重新学习,默认值
inactivity 参数为与端口连接的客户端一段时间(老化时间)没有流量,就将其mac地址从地址表中删除
默认情况下静态绑定的mac地址并不受老化时间的影响,Cisco 交换机也可让静态绑定的mac地址老化
switchport porti-security aging static
安全的路由交换--端口安全相关推荐
- 6.三层交换机交换端口改成路由端口(Cisco Packet Tracer)
路由器端口(Cisco Packet Tracer) 本次实验是5.实验的修改,虽然说是路由器,但是我想用三层交换机,把三层交换机的物理端口用no switchport,从交换端口改成路由端口,此时三 ...
- Arista将Spine-Leaf路由/交换产品进行芯片升级
思科在路由交换产品中的主要竞争对手之一,专利案的另一位主角Arista近日宣布将通过博通公司提供的商用芯片来升级其R系列的平台,Arista方面表示这将是自定义布线芯片的功能提升两倍能耗仅是原来的一半 ...
- 路由 交换 网桥 相关转贴
LAN 浅析xp的双网卡桥接 如果有3台电脑要联网,有没有hub或交换机等网络设备,很多人都会想到在其中的一台机器上安装2块网卡,配置路由来通讯. 假设A.B.C三台机器,在A上安装2块网卡,其中一 ...
- 数据中心网络架构的问题与演进 — 传统路由交换技术与三层网络架构
戳蓝字"CSDN云计算"关注我们哦! 文章目录 目录传统路由交换技术路由和交换交换技术传统的 2 层交换技术具有路由功能的 3 层交换技术具有网络服务功能的 7 层交换技术路由技术 ...
- 1-1:Huawei路由交换技术简单知识
Huawei 路由交换 华为简单路由交换技术 知识学习 网络通信基础 常见术语 网络五元组 华为简单路由交换技术 在当前世界中,网络时代的飞速发展,让人们的生活.学习.工作都新增了不一样的色彩.这里我 ...
- HCIA-RoutingSwitching华为认证路由交换工程师(持续更新中2%)
// An highlighted block HCIA-Routing&Switching华为认证路由交换工程师在线课程 100分(计分) 一.判断题 1. STP在用来防止出现路由环路. ...
- 网络技能大赛-2018年国赛真题[2018年全国职业技能大赛高职组计算机网络应用赛项真题-I卷]路由交换部分答案详解
网络技能大赛-2018年国赛路由交换部分答案详解 2022年全国职业技能大赛网络系统管理赛项相较2021年再次做出改动,Linux部分从之前的Debian又换回了CentOS,不过相应增加了UOS国产 ...
- (Router)路由交换实验
(Router)路由交换实验 文章目录 (Router)路由交换实验 实验00 模拟器HCL 实验01 常用设备管理操作 实验03 文件操作与设备调试 任务一 使用FTP上传下载系统文件 任务二 使用 ...
- 【路由交换技术】Cisco Packet Tracer路由器子接口
文章目录 路由器虚拟子接口 配置步骤 配置过程 交换机配置 路由器接口配置 动态路由配置 同系列文章 基础入门教程 具体功能文章 路由器虚拟子接口 我们知道,与终端相连的路由器的端口要设置为终端的网关 ...
最新文章
- html5 audio标志改变音量,HTML5之Audio(二)—— processor调节音量
- 数据库01-范式总结
- mysql手注_php+mysql手注拿shell教程【朋友给的】
- Discuz x1.0 修改游客浏览图片、附件权限
- java.io.Serializable 序列化问题【原】
- Spring的XML解析原理,java接口流程图
- 真不是开玩笑:同事因在涉及金钱交易中使用double造成无法挽回的损失,已跑路...
- Xshel和Xftp免费版
- 哪个大佬有c#三层架构写的餐饮管理系统源代码
- linux定时对准时间,Linux校对时间
- 【Linux】监控实时网速 查看实时网速
- Ubuntu16.04配置deeplabv3+的pytorch版本
- 计算机四屏故障维修,液晶显示器有哪些常见故障 液晶显示器常见故障及维修方法...
- Vue+高德地图API的使用(插件的使用)
- 磁珠的作用以及和电感的区别
- 解决input中输入中文过程中会触发input事件的问题
- MNL——多项Logit模型学习笔记(二)
- SpringBootProfile
- Spring事务概述
- MATLAB学习八(四):相关系数corrcoef