思科交换机端口安全(Port-Security)

思科交换机端口安全(Port-Security)

Cisco Catalyst交换机端口安全（Port-Security）

1、Cisco29系列交换机可以做基于2层的端口安全，即mac地址与端口进行绑定。

2、Cisco3550以上交换机均可做基于2层和3层的端口安全，即mac 地址与端口绑定以及mac地址与ip地址绑定。

3、以cisco3550交换机为例

做mac地址与端口绑定的可以实现两种应用：

a、设定一端口只接受第一次连接该端口的计算机mac地址，当该端口第一次获

得某计算机mac地址后，其他计算机接入到此端口所发送的数据包则认为非法，做丢弃处理。

b、设定一端口只接受某一特定计算机mac地址，其他计算机均无法接入到此端口。

4、破解方法：网上前辈所讲的破解方法有很多，主要是通过更改新接入计算机网卡的mac地址来实现，但本人认为，此方法实际应用中基本没有什么作用，原因很简单，如果不是网管，其他一般人员平时根本不可能去注意合法计算机的mac地址，一般情况也无法进入合法计算机去获得mac地址，除非其本身就是该局域网的用户。

5、实现方法：

针对第3条的两种应用，分别不同的实现方法

a、接受第一次接入该端口计算机的mac地址：

Switch#config terminal

Switch(config)#inte**ce inte**ce-id 进入需要配置的端口

Switch(config-if)#switchport mode access 设置为交换模式

Switch(config-if)#switchport port-security 打开端口安全模式

Switch(config-if)#switchport port-security violation {protect |

restrict | shutdown }

//针对非法接入计算机，端口处理模式{丢弃数据包，不发警告| 丢弃数据包，

在console发警告| 关闭端口为err-disable状态，除非管理员手工激活，否则该端口失效。

b、接受某特定计算机mac地址：

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security violation {protect |

restrict | shutdown }

//以上步骤与a同

Switch(config-if)#switchport port-security mac-address sticky

Switch(config-if)#switchport port-security aging static //打开静态映射Switch(config-if)#switchport port-security mac-address sticky

**X.**X.**X

//为端口输入特定的允许通过的mac地址

mac地址与ip地址绑定基本原理：

在交换机内建立mac地址和ip地址对应的映射表。端口获得的ip和mac地址将匹配该表，不符合则丢弃该端口发送的数据包。

实现方法：

Switch#config terminal

Switch(config)#arp 1.1.1.1 0001.0001.1111 arpa

该配置的主要注意事项：需要将网段内所有IP都建立MAC地址映射，没有使用的IP地址可以与0000.0000.0000建立映射。否则该绑定对于网段内没有建立映射的IP地址无效。

最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC地址与具体的端口绑定，**具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过。

稍微引申下端口安全，就是可以根据802.1X来控制网络的访问流量。首先谈一下MAC地址与端口绑定，以及根据MAC地址允许流量的配置。

1. MAC地址与端口绑定，当发现主机的MAC地址与交换机上指定的MAC地址不同

时，交换机相应的端口将

down掉。当给端口指定MAC地址时，端口模式必须为access或者Trunk状态。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport mode access /指定端口模式。

3550-1(config-if)#switchport port-security mac-address

00-90-F5-10-79-C1

//配置MAC地址。

3550-1(config-if)#switchport port-security maximum 1

//**此端口允许通过的MAC地址数为1。

3550-1(config-if)#switchport port-security violation shutdown

//当发现与上述配置不符时，端口down掉。

2. 通过MAC地址来**端口流量，此配置允许一接口最多通过100个MAC地址，超

过100时，但来自新的主

机的数据帧将丢失。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport mode access

3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。

3550-1(config-if)#switchport port-security violation protect /当主

机MAC地址数目超过100 时，交换机继续工作，但来自新的主机的数据帧将丢失。

上面的配置根据MAC地址来允许流量，下面的配置则是根据MAC 地址来拒绝流量

1. 此配置在Catalyst交换机中只能对单播流量进行过滤，对于多播流量则无效。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop

/在相应的Vlan丢弃流量。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2

int f0/1

/在相应的接口丢弃流量。

你可以配置接口的三种违规模式

·protect:

当mac地址的数量达到了这个端口所最大允许的数量，带有未知的源地址的包就会被丢弃，直到删除了足够数量的mac地址，来降下最大数值之后才会不丢弃。

·restrict:

一个**数据和并引起"安全违规"计数器的增加的端口安全违规动作。

·shutdown:

一个导致接口马上shutdown，并且发送SNMP陷阱的端口安全违规动作。当一个安全端口处在error- disable状态，你要恢复正常必须得敲入全局下的errdisable recovery cause

psecure-violation 命令，或者你可以手动的shut再no shut端口。这个是端口安全违规的默认动作。

默认的端口安全配置：

以下是端口安全在接口下的配置-

特性：port-sercurity 默认设置：关闭的。

特性：最大安全mac地址数目默认设置：1

特性：违规模式默认配置：shutdown，这端口在最大安全mac地址数量达到的时候会shutdown，并发

snmp陷阱。

配置向导：

下面是配置端口安全的向导-

·安全端口不能在动态的access口或者trunk口上做，换言之，敲port-secure之前必须的是switch mode acc之后。

·安全端口不能是一个被保护的口。

·安全端口不能是SPAN的目的地址。

·安全端口不能属于GEC或FEC的组。

·安全端口不能属于802.1x端口。如果你在安全端口试图开启802.1x，

就会有报错信息，而且802.1x也关了。如果你试图改变开启了802.1x 的端口为安全端口，错误信息就会出现，

安全性设置不会改变。

配置案例：

1. 在f0/12上最大mac地址数目为5的端口安全，违规动作为默认。switch#config t

Enter configuration commands, one per line. End with CNTL/Z. switch(config)#int f0/12

switch(config-if)#swi mode acc

switch(config-if)#swi port-sec

switch(config-if)#swi port-sec max 5

switch(config-if)#end

switch#show port-sec int f0/12

Security Enabled:Y es, Port Status:SecureUp

Violation Mode:Shutdown

Max. Addrs:5, Current Addrs:0, Configure Addrs:0

2. 如何配置f0/12安全mac地址

switch(config)#int f0/12

switch(config-if)#swi mode acc

switch(config-if)#swi port-sec

switch(config-if)#swi port-sec mac-add 1111.1111.1111

switch(config-if)#end

switch#show port-sec add

Secure Mac Address Table

------------------------------------------------------------

Vlan Mac Address Type Ports

1 1000.2000.3000 SecureConfigured Fa0/12

3. 配置端口安全超时时间两小时。

switch(config)#int f0/12

switch(config)#swi port-sec aging time 120

4. 端口安全超时时间2分钟，给配置了安全地址的接口，类型为inactivity

aging：

switch(config-if)#swi port-sec aging time 2

switch(config-if)#swi port-sec aging type inactivity

switch(config-if)#swi port-sec aging static

show port-security inte**ce f0/12可以看状态.

其他show

show port-security 看哪些接口启用了端口安全.

show port-security address 看安全端口mac地址绑定关系.

==================================================== =================

============

(config-if)#switchport mode access 设置为交换模式

(config-if)#switchport port-security 打开端口安全模式

(config-if)#switchport port-security violation {protect | restrict | shutdown }

(config-if)#switchport port-security mac-address sticky

(config-if)#switchport port-security aging static //打开静态映射(config-if)#switchport port-security mac-address sticky **X.**X.**X (config)#arp 1.1.1.1 0001.0001.1111 arpa [建立mac地址和ip地址对应的映射表]

(config-if)#switchport port-security mac-address 0090.F510.79C1 (config-if)#switchport port-security maximum 1

(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop (config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 [特定接口丢包]

交换机端口安全性

交换机端口安全性 【实验名称】 交换机端口安全性 【实验目的】 理解什么是交换机的端口安全性，如何配置端口安全性。 【背景描述】 从网络管理的安全性考虑，某企业网络管理员想对交换机上端口的访问权限做些限制，通过限制允许访问交换机某个端口的MAC地址以及IP地址（可选）来实现严格控制对该端口的输入。现在要通过在交换机上做适当配置来实现这一目标。 本实验以一台S2126G交换机为例，交换机名为SwitchA。一台PC机通过串口（Com）连接到交换机的控制（Console）端口，通过网卡(NIC)连接到交换机的fastethernet 0/1端口。假设该PC机的IP地址为192.168.0.137 ，网络掩码为255.255.255.0 ，MAC地址为00-E0-98-23-95-26，为了验证实验的效果，另准备一台PC机，其IP地址设为192.168.0.150 ，网络掩码为255.255.255.0 。 【实现功能】 通过在交换机上设置端口安全性来实现对网络访问的控制。 【实验拓扑】 F0/1Console NIC Com PC 【实验设备】 S2126G（1台） 【实验步骤】 第一步：在交换机上配置管理接口IP地址 SwitchA(config)# interface vlan 1 ！进入交换机管理接口配置模式 SwitchA(config-if)# ip address 192.168.0.138 255.255.255.0 ！配置交换机管理接口IP地址

SwitchA(config-if))# no shutdown ！开启交换机管理接口 验证测试：验证交换机管理IP地址已经配置和开启，PC机与交换机有网络连通性SwitchA#show ip interface ！验证交换机管理IP地址已经配置，管理接口已开启Interface : VL1 Description : Vlan 1 OperStatus : up ManagementStatus : Enabled Primary Internet address: 192.168.0.138/24 Broadcast address : 255.255.255.255 PhysAddress : 00d0.f8ef.9d08 SwitchA#ping 192.168.0.137 ！验证交换机与PC机具有网络连通性 Sending 5, 100-byte ICMP Echos to 192.168.0.137, timeout is 2000 milliseconds. !!!!! Success rate is 100 percent (5/5) Minimum = 1ms Maximum = 3ms, Average = 1ms 第二步：打开交换机上fastethernet 0/1接口的端口安全功能 SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)#switchport mode access ！配置fastethernet 0/1接口为access模式SwitchA(config-if)#switchport port-security ！在fastethernet 0/1接口上打开端口安全功能 验证测试：验证已开启fastethernet 0/1接口的端口安全功能 SwitchA#show port-security interface fastethernet 0/1 Interface : Fa0/1 Port Security : Enabled Port status : up Violation mode : Protect Maximum MAC Addresses : 128 Total MAC Addresses : 0 Configured MAC Addresses : 0 Aging time : 0 mins Secure static address aging : Disabled 第三步：配置安全端口上的安全地址(可选) SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)# switchport port-security mac-address 00e0.9823.9526 ip-address 192.168.0.137 ! 手工配置接口上的安全地址 验证测试：验证已配置了安全地址 SwitchA#show port-security address

cisco交换机端口镜像设置

先解释一下端口镜像：端口镜像简单的说，就是把交换机一个（数个）端口（源端口）的流量完全拷贝一份，从另外一个端口（目的端口）发出去，以便网络管理人员从目的端口通过分析源端口的流量来找出网络存在问题的原因。cisco的端口镜像叫做SWITCHED PORT ANALYZER，简称SPAN（仅在IOS系统中，下同），因此，端口镜像仅适用于以太网交换端口。Cisco的SPAN。 分成三种，SPAN、RSPAN和VSPAN，简单的说，SPAN是指源和目的端口都在同一台机器上、RSPAN指目的和源不在同一交换机上，VSPAN可以镜像整个或数个VLAN到一个目的端口。 配置方法： 1. SPAN (1) 创建SPAN源端口 monitor session session_number source interface interface-id [, | -] [both | rx | tx] **session_number,SPAN会话号，我记得3550支持的最多本地SPAN是2个，即1或者2。**interface-id [, | -]源端口接口号，即被镜像的端口，交换机会把这个端口的流量拷贝一份，可以输入多个端口，多个用“,”隔开，连续的用“-”连接。 **[both | rx | tx]，可选项，是指拷贝源端口双向的(both)、仅进入(rx)还是仅发出(tx)的流量，默认是both。 (2)创建SPAN目的端口 monitor session session_number destination interface interface-id [encapsulation {dot1q [ingress vlan vlan id] | ISL [ingress]} | ingress vlan vlan id] **一样的我就不说了。 **session_number要和上面的一致。 **interface-id目的端口，在源端口被拷贝的流量会从这个端口发出去，端口号不能被包含在源端口的范围内。 **[encapsulation {dot1q | isl}]，可选，指被从目的端口发出去时是否使用802.1q和isl封装，当使用802.1q时，对于本地VLAN不进行封装，其他VLAN封装，ISL则全部封装。 2.VSPAN (1)创建VSPAN源VLAN monitor session session_number source vlan vlan-id [, | -] rx **一样的也不说了，基本和SPAN相同，只是接口号变成了VLAN号，而且只能镜像接收的流量。 (2)创建VSPAN目的端口 monitor session session_number destination interface interface-id [encapsulation {dot1q | isl}] **和SPAN的一样。 3.RSPAN RSPAN的配置较为复杂，其流程可以这样来看，交换机把要镜像的端口流量复制一份，然后发到本机的一个反射端口上（reflector-port ） ，在由反射端口将其通过网络转发到目的交换机中的VLAN上（一般情况下，这个VLAN 是专为镜像而设的，不要作为客户端接入所用），再在目 的交换机中配置VSPAN，将该VLAN的流量镜像到目的端口，要注意的是，一旦这种RSPAN 被使用，该镜像专用VLAN的信息会被转发到所有的VLAN

实验四 交换机端口安全技术

交换机端口安全技术 24.1 实验内容与目标 完成本实验，应该能够达到以下目标。 ● 掌握802.1x 的基本配置 ● 掌握端口隔离基本配置 ● 掌握端口绑定技术基本配置 24.2 实验组网图 本实验按照实验图24-1进行组网。 PCA PCB SWA 实验图24-1 实验组网图 24.3 实验设备与版本 本实验所需之主要设备器材如实验表24-1所示。 实验表 24-1 实验设备器材 24.4 实验过程 实验任务一 配置802.1x 本实验通过在交换机上配置802.1x 协议，使接入交换机的PC 经

过认证后才能访问网络资源。通过本实验，掌握802.1x认证的基本 原理和802.1x本地认证的基本配置。 步骤一：建立物理连接并初始化交换机配置。 按实验组网图进行物理连接，并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。如果配置不符合要求，在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用默认的配置参数进行初始化。 步骤二：检查互通性。 分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后，在PCA上用ping命令来测试到PCB的互通性，其结果是。 步骤三：配置802.1x协议。 实现在交换机SWA上启动802.1x协议，过程如下： 首先需要分别在和开启802.1x认证功能，在 下面的空格中补充完整的命令。 [SWA] [SWA]dot1x 其次在SWA上创建本地802.1x用户，用户名为abcde，密码为 明文格式的12345，该用户的服务类型server-type是，在如下的空格中完成该本地用户的配置命令。 步骤四：802.1x验证。 配置完成后，再次在PCA上用ping命令来测试到PCB的互通性，其结果是。 导致如上结果的原因是交换机上开启了802.1x认证，需要在客 户端配置802.1x认证相关属性。 PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机，本实验以Windows系统自带客户端为例说明如何进行设置。 在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标，在弹出的窗口中双击“网络连接”图标，在弹出的窗口中右击“本地连接”图标，执行“属性”命令，如实验图24-2所示。 再选择“验证”选项卡，并选中“启用此网络的IEEE802.1x验证”复选框，如实验图24-3所示，然后单击“确定”按钮，保存退

思科交换机安全 做 802.1X、port-security案例

端口和MAC绑定：port-security 基于DHCP的端口和IP,MAC绑定：ip source guard 基于DHCP的防止ARP攻击：DAI 防止DHCP攻击：DHCP Snooping cisco所有局域网缓解技术都在这里了！ 常用的方式： 1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括port-security)：基于身份的网络安全；很多名字，有些烦 当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X方式，如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息 示例配置： Router#config ure terminal Router(config)#aaa new-model Router(config)#aaa authentication dot1x default group radius Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0 Router(config-if)#dot1x port-control auto AUTO是常用的方式，正常的通过认证和授权过程 强制授权方式：不通过认证，总是可用状态 强制不授权方式：实质上类似关闭了该接口，总是不可用

交换机的端口安全配置

【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能，控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.55/24，主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定，可以针对IP地址、MAC地址、IP＋MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗，IP地址攻击等。 配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种： ? protect 当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。 ? restrict 当违例产生时，将发送一个Trap通知。 ? shutdown 当违例产生时，将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口，配置最大连接数为1，针对PC1主机的接口进行IP＋MAC地址绑定。【实验设备】 S2126G交换机（1台），PC（1台）、直连网线（1条）

思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)

网络拓扑图如下： 根据图示连接设备。 在本次试验中，具体端口情况如上图数字标出。核心交换机（core ）设置为s1或者SW1，汇聚层交换机（access）设置为s2或者SW2。 IP 地址分配： Router：e0：：f0/1: 接口：Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址：区域网段地址： PC1：PC2：路由器清空配置命令： en erase startup-config Reload 交换机清空配置命令： en erase startup-config

delete Reload 加速命令： en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配，防止OFFICE 网络发生ARP 攻击，不允许OFFICE 网段PC 互访；STUDENTS 区域主机输入正确的学号和密码后接入网络，自动获取地址，阻止STUDENTS网段地址发生ARP攻击； 1、基本配置 SW1的配置： SW1(config)#vtp domain cisco 然后在pc上进入接口，设置为DHCP获取地址,命令如下： int f0/1 ip add dhcp 查看结果：

5、Student区域ARP防护： SW2配置如下： ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量，此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址，就可以发现端口down状态，修改mac地址命令如下： pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证： 服务器地址为：vlan 30 //创建vlan 30的原因：在sw1、sw2中配置svi口，服务器的地址为，使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机，所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct

cisco交换机的端口安全配置

【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能，控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.55/24，主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定，可以针对IP地址、MAC地址、IP＋MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗，IP地址攻击等。 配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种： ? protect 当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。 ? restrict 当违例产生时，将发送一个Trap通知。 ? shutdown 当违例产生时，将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口，配置最大连接数为1，针对PC1主机的接口进行IP＋MAC地址绑定。【实验设备】 S2126G交换机（1台），PC（1台）、直连网线（1条）

华为交换机安全防范技术

在网络实际环境中，随着计算机性能的不断提升，针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重，影响越来越剧烈。交换机作为局域网信息交换的主要设备，特别是核心、汇聚交换机承载着极高的数据流量，在突发异常数据或攻击时，极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响，减轻交换机的负载，使局域网稳定运行，交换机厂商在交换机上应用了一些安全防范技术，网络管理人员应该根据不同的设备型号，有效地启用和配置这些技术，净化局域网环境。本文以华为3COM公司的Quidway系列交换机为例，分两期为您介绍常用的安全防范技术和配置方法。以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。 广播风暴控制技术 网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播，都可能引起广播风暴，交换机会把大量的广播帧转发到每个端口上，这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴，避免网络拥塞。 1.广播风暴抑制比 可以使用以下命令限制端口上允许通过的广播流量的大小，当广播流量超过用户设置的值后，系统将对广播流量作丢弃处理，使广播所占的流量比例降低到合理的范围，以端口最大广播流量的线速度百分比作为参数，百分比越小，表示允许通过的广播流量越小。当百分比为100时，表示不对该端口进行广播风暴抑制。缺省情况下，允许通过的广播流量为100%，即不对广播流量进行抑制。在以太网端口视图下进行下列配置： broadcast-suppression ratio 2.为VLAN指定广播风暴抑制比 同样，可以使用下面的命令设置VLAN允许通过的广播流量的大小。缺省情况下，系统所有VLAN不做广播风暴抑制，即max-ratio值为100%。 MAC地址控制技术 以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。对于发往这些MAC地址的报文，以太网交换机可以直接使用硬件转发。如果MAC地址表过于庞大，可能导致以太网交换机的转发性能的下降。MAC攻击利用工具产生欺骗的MAC地址，快速填满交换机的MAC表，MAC表被填满后，交换机会以广播方式处理通过交换机的报文，流量以洪泛方式

思科交换机端口安全(Port-Security)

思科交换机端口安全(Port-Security) Cisco Catalyst交换机端口安全（Port-Security） 1、Cisco29系列交换机可以做基于2层的端口安全，即mac地址与端口进行绑定。 2、Cisco3550以上交换机均可做基于2层和3层的端口安全，即mac 地址与端口绑定以及mac地址与ip地址绑定。 3、以cisco3550交换机为例 做mac地址与端口绑定的可以实现两种应用： a、设定一端口只接受第一次连接该端口的计算机mac地址，当该端口第一次获 得某计算机mac地址后，其他计算机接入到此端口所发送的数据包则认为非法，做丢弃处理。 b、设定一端口只接受某一特定计算机mac地址，其他计算机均无法接入到此端口。 4、破解方法：网上前辈所讲的破解方法有很多，主要是通过更改新接入计算机网卡的mac地址来实现，但本人认为，此方法实际应用中基本没有什么作用，原因很简单，如果不是网管，其他一般人员平时根本不可能去注意合法计算机的mac地址，一般情况也无法进入合法计算机去获得mac地址，除非其本身就是该局域网的用户。

5、实现方法： 针对第3条的两种应用，分别不同的实现方法 a、接受第一次接入该端口计算机的mac地址： Switch#config terminal Switch(config)#inte**ce inte**ce-id 进入需要配置的端口 Switch(config-if)#switchport mode access 设置为交换模式 Switch(config-if)#switchport port-security 打开端口安全模式 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //针对非法接入计算机，端口处理模式{丢弃数据包，不发警告| 丢弃数据包， 在console发警告| 关闭端口为err-disable状态，除非管理员手工激活，否则该端口失效。 b、接受某特定计算机mac地址： Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //以上步骤与a同 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security aging static //打开静态映射Switch(config-if)#switchport port-security mac-address sticky

交换机端口隔离及端口安全

实验二 交换机端口隔离及端口安全 背景描述： 假设你所用的交换机是宽带小区城域网中的1台楼道交换机，住户PC1连接在交换机的0/1口，住户PC2连接在交换机的0/2口。住户不希望他们之间能够相互访问，现要实现各家各户的端口隔离。 一、:实验名称:交换机端口隔离 二、实验目的: 1. 熟练掌握网络互联设备-交换机的基本配置方法 2. 理解和掌握Port Vlan 的配置方法 三、实验设备：每一实验小组提供如下实验设备 1、 实验台设备：计算机两台PC1和PC2（或者PC4和PC5） 2、 实验机柜设备： S2126(或者S3550)交换机一台 3、 实验工具及附件：网线测试仪一台 跳线若干 四、实验原理及要求： 1、Vlan(virual laocal area network,虚拟局域网)，是指在一个物理网段内，进行逻辑的划分，划分成若干个虚拟局域网。其最大的特性是不受物理位置的限制，可以进行灵活的划分。VLAN 具备一个物理网段所具备的特性。相同的VLAN 内的主机可以相互直接访问，不同的VLAN 间的主机之间互相访问必须经由路由设备进行转发，广播包只可以在本VLAN 内进行传播，不能传输到其他VLAN 中。 2、PORT VLAN 是实现VLAN 的方式之一，PORT VLAN 是利用交换机的端口进行VLAN 的划分，一个普通端口只能属于一个VLAN 。 五、实验注意事项及要求： 1、 实验中严禁在设备端口上随意插拔线缆，如果确实需要应向老师说明征求许可。 2、 以电子文档形式提交实验报告。 3、 本次实验结果保留：是 √ 否 4、 将交换机的配置文档、验证计算机的TCP/IP 配置信息保存。 5、 将交换机的配置信息以图片的形式保存到实验报告中。 6、 六、实验用拓扑图 注意：实验时按照拓扑图进行网络的连接，注意主机和交换机连接的端口 七、实验具体步骤及实验结果记录： 1、 实现两台主机的互联，确保在未划分VLAN 前两台PC 是可以通讯的（即F0/1和F0/2间是可以通讯的）。 实验结果记录：要求将PC1和pc2的IP 设置和连通性测试的结果记录下来。 2、 创建VLAN 1）、启用“本地连接”网卡，正确设置IP 地址及默认网关，打开设备配置界面，完成以下命令行操作： S2126（S3550） F0/1 NIC2) NIC2 F0/2 Vlan 10 Vlan 20

交换机端口安全

【实训目的】 （1）掌握交换机端口安全功能，控制用户的安全接入 （2）掌握交换机的端口配置的连接数 （3）掌握如何针对PC1主机的接口进行IP+MAC地址绑定 【实训技术原理】 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入；交换机端口安全主要有两种类型：一是限制交换机端口的最大连接数；二是针对交换机端口进行MAC地址、IP地址的绑定； 配置交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种： （1）protect 当安全地址个数满后，安全端口将丢弃未知地址的包； （2）restrict当违例产生时，将发送一个trap通知； （3）shutdown当违例产生时，将关闭端口并发送一个trap通知； 当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来； 【实训背景描述】 你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.23/24，主机MAC地址是0090.210E.55A0。该主机连接在1台2126G上。 【实训设备】 S2126G（1台），PC（2台）、直连线（2条） 【实训内容】 （1）按照拓扑进行网络连接 （2）配置交换机端口最大连接数限制 （3）配置交换机端口地址绑定 【实训拓扑图】 （1）配置交换机端口的最大连接数限制 Switch#configure terminal

开启Cisco交换机DHCP Snooping功能

开启Cisco交换机DHCP Snooping功能 一、采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。但在DHCP服务的管理上存在一些问题，常见的有： ●DHCP Server的冒充 ●DHCP Server的DOS攻击，如DHCP耗竭攻击 ●某些用户随便指定IP地址，造成IP地址冲突 1、DHCP Server的冒充 由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。 2、DHCP Server的拒绝服务攻击 通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR（也就是Client MAC address）字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC地址。但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的，但由于DHCP请求报文是广播报文，如果大量发送的话也会耗尽网络带宽，形成另一种拒绝服务攻击。 3、客户端随意指定IP地址 客户端并非一定要使用DHCP服务，它可以通过静态指定的方式来设置IP地址。如果随便指定的话，将会大大提高网络IP地址冲突的可能性。 二、DHCP Snooping技术介绍 DHCP监听（DHCP Snooping）是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP 监听特性。通过这种特性，交换机能够拦截第二层VLAN域内的所有DHCP报文。 DHCP监听将交换机端口划分为两类： ●非信任端口：通常为连接终端设备的端口，如PC，网络打印机等 ●信任端口：连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 通过开启DHCP监听特性，交换机限制用户端口（非信任端口）只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文，例如DHCP Offer报文等。而且，并非所有来自用户端口的DHCP请求都被允许通过，交换机还会比较DHCP 请求报文的（报文头里的）源MAC地址和（报文内容里的）DHCP客户机的硬

Cisco交换机DHCP+Snooping功能详解+实例

一、采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。但在DHCP服务的管理上存在一些问题，常见的有： ●DHCP Server的冒充 ●DHCP Server的DOS攻击，如DHCP耗竭攻击 ●某些用户随便指定IP地址，造成IP地址冲突 1、DHCP Server的冒充 由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。 2、DHCP Server的拒绝服务攻击 通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR（也就是Client MAC address）字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。攻击者可以利用伪造MAC 的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC地址。但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS 攻击，也可以与伪造的DHCP服务器配合使用。当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。甚至即使DHCP请求报文的源MAC地址和

实验2：交换机端口安全

12.3 实验2：交换机端口安全 1.实验目的 通过本实验，读者可以掌握如下技能： ①理解交换机的CAM表； ②理解交换机的端口安全； ③配置交换的端口安全特性。 2.实验拓扑 实验拓扑图如图12-3所示。 图12-3 实验2拓扑图

3.实验步骤 交换机端口安全特性可以让我们配置交换机端口，使得当具有非法MAC地址的设备接入时，交换机会自动关闭接口或者拒绝非法设备接入，也可以限制某个端口上最大的MAC地址数。在这里限制f0/接口只允许R1接入。 （1）步骤1：检查R1的g0/0接口的MAC地址 R1(config)#int g0/0 R1(config-if)#no shutdown R1(config-if)#ip address 172.16.0.101 255.255.0.0 R1#show int g0/0 GigabitEthernet0/0 is up ，line protocol is up Hardware is MV96340 Ethernet，address is 0019.5535.b828(bia 0019.5535.b828) //这里可以看到g0/0接口的Mac地址，记下它 Internet address is 172.16.0.101/16 MTU 1500 bytes，BW 100000 Kbit，DL Y 100 usec， （此处省略） （2）步骤2：配置交换端口安全 S1(config)#int f0/1 S1(config-if)#shutdown S1(config-if)#switch mode access //以上命令把端口改为访问模式，即用来接入计算机，在下一章将详细介绍该命令的含义 S1(config-if)#switch port-security //以上命令是打开交换机的端口安全功能 S1(confg-if)#switch port-security maximum 1 //以上命令只允许该端口下的MAC条目最大数量为1，即只允许一个设备接入 S1(config-if)#switch port-security violation shutdown “switch port-security violation{protect|shutdown|restrict}”//命令含义如下： ●protect;当新的计算机接入时，如果该接口的MAC条目超过最大数量，则这个新的计算 机将无法接入，而原有的计算机不受影响； ●shutdown;当新的计算机接入时，如果该接口的MAC条目超过最大数量，则该接口将会 被关闭，则这个新的计算机和原有的计算机都无法接入，需要管理员使用”no shutdown” 命令重新打开； ●restrcit;当新的计算机接入时，如果该接口的MAC条目超过最大数量，则这个新的计算 机可以接入，然而交换机将向发送警告信息。 S1(config-if)#switchport port-security mac-address 0019.5535.b828 //允许R1路由器从f0/1接口接入 S1(confgi-if)#no shutdown

交换机端口安全

实验交换机端口安全 一、实验目的和要求 ? 了解交换机的端口安全性的基本知识 ? 掌握如何配置交换机连接的最大安全地址数 ? 掌握如何配置交换机绑定指定的mac地址 二、实验设备 模拟软件：Cisco PacketTracer53_setup_no_tutorials 设备：交换机两台，PC机若干，直连线，交叉线若干。 三、实验内容 1．在交换机上配置端口安全，以及违例的处理方式。 2．两台交换机以交叉线相连，其中主交换机上连接一台PC机，以用来验证链路。次交换机下连接两台PC机。在主交换机上配置最大安全地址数maximum，验证工作组PC数目超过最大安全地址数时，链路不通，以指定的违例处理方式处理。 3．在主交换机上配置绑定固定的mac地址，验证当更换工作组pc机时，链路不通，以指定的违例处理方式处理。 四、实验拓扑 图1 交换机端口连接最大安全地址数

图2 交换机端口绑定指定mac地址 五、背景描述 1．某公司在内部的交换机上配置每个端口可连接的最大安全地址数，可以防止外来用户盗用公司内部网络。 2．公司的主交换机上绑定公司内部主机的mac地址之后，能防止公司外部带有病毒的pc机感染公司内部主机，或者防止人为的恶意破坏，窃取公司内部机密。 六、相关知识 锐捷网络的交换机有端口安全功能，利用端口安全这个特性，可以实现网络接入安全。交换机的端口安全机制是工作在交换机二层端口上的一个安全特性，它主要有以下几个功能： ?只允许特定mac地址的设备接入到网络中。从而防止用户将非法或未授权的设备接入网络。 ?限制端口接入的设备数量，防止用户将过多的设备接入到网络中。 当一个端口被配置成为一个安全端口（启用了端口安全特性）后，交换机将检查从此端口接收到的帧的源mac地址，并检查再此端口配置的最大安全地址数。如果安全地址没有超过配置的最大值，交换机会检查安全地址列表，若此帧的源mac地址没有被包含在安全地址表中，那么交换机将自动学习此mac地址，并将它加入到安全地址表中，标记为安全地址，进行后续转发；若此帧的源mac地址已经存在于安全地址表中，那么交换机将直接对帧进行转发。安全端口的安全地址表既可以通过交换机自动学习，也可以手工配置。 配置安全端口安全存在以下限制。 ?一个安全端口必须是一个Access端口，及连接终端设备的端口，而非Trunk端口。 ?一个安全端口不能是一个聚合端口（Aggregate Port）。 ?一个安全端口不能是SPAN的目的端口。 七、实验步骤 步骤1．画出实验拓扑结构图。 步骤2. 按实验拓扑图1连接设备。并对三台PC机进行IP设置。

cisco交换机端口隔离的实现方法

现在网络安全要求也越来越多样化了，一个局域网有时候也希望用户不能互相访问(如小区用户)，只能和网关进进行通讯。H3C交换机可以用端口隔离来实现，下面给大家介绍一下在cisco的交换机上面如何来实现这样的（端口隔离）需求。 在cisco 低端交换机中的实现方法: 1.通过端口保护(Switchitchport protected)来实现的。 2.通过PVLAN(private vlan 私有vlan)来实现. 主要操作如下: 相对来说cisco 3550或者2950交换机配置相对简单，进入网络接口配置模式: Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口 Switch(config-if-range)#Switchitchport protected #开启端口保护 ok...到此为止,在交换机的每个接口启用端口保护,目的达到. 由于4500系列交换机不支持端口保护，可以通过PVLAN方式实现。 主要操作如下: 交换机首先得设置成transparents模式，才能完成pvlan的设置。 首先建立second Vlan 2个 Switch(config)#vlan 101 Switch(config-vlan)#private-vlan community ###建立vlan101 并指定此vlan为公共vlan Switch(config)vlan 102 Switch(config-vlan)private-vlan isolated ###建立vlan102 并指定此vlan为隔离vlan Switch(config)vlan 200 Switch(config-vlan)private-vlan primary

交换机端口安全总结

交换机端口安全总结 交换机端口安全总结 最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC地址与具体的端口绑定，限制具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过。稍微引申下端口安全，就是可以根据802.1X来控制网络的访问流量。 首先谈一下MAC地址与端口绑定，以及根据MAC地址允许流量的配置。 1.MAC地址与端口绑定，当发现主机的MAC地址与交换机上指定的MAC地址不同时，交换机相应的端口将down掉。当给端口指定MAC地址时，端口模式必须为access或者Trunk状态。 3550-1#conf t 3550-1(config)#int f0/1 3550-1(config-if)#switchport mode access /指定端口模式。 3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。 3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1。 3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时，端口down掉。 2.通过MAC地址来限制端口流量，此配置允许一TRUNK口最多通过100个MAC 地址，超过100时，但来自新的主机的数据帧将丢失。 3550-1#conf t 3550-1(config)#int f0/1 3550-1(config-if)#switchport trunk encapsulation dot1q 3550-1(config-if)#switchport mode trunk /配置端口模式为TRUNK。 3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。 3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时，交换机继续工作，但来自新的主机的数据帧将丢失。 上面的配置根据MAC地址来允许流量，下面的配置则是根据MAC地址来拒绝流量。 1.此配置在Catalyst交换机中只能对单播流量进行过滤，对于多播流量则无效。3550-1#conf t 3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的Vlan丢弃流量。 3550-1#conf t 3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量。