三层交换机上做端口隔离
三层交换机上做端口隔离
2011-10-28 11:15:01| 分类:默认分类| 标签:|字号大中小订阅
在不支持端口保护(switchport protect)的三层交换机上,要想达到端口隔离的效果。
问题及要求如图。
解决思路是利用vlan。
问题是在三层交换机上,vlan之间是可以通过三层转发的。所以要设置ACL进行控制。
每个端口划分一个vlan,分别是Vlan101、Vlan102、Vlan103.......Vlan124
A1接到三层交换的F0/1,划分vlan101,A2接到三层交换的F0/2,划分vlan102......
在每个vlan启用虚拟接口,分配相应地址,并增加access-group。
如:
interface Vlan101
ip address 192.168.1.254 255.255.255.0
ip access-group 101 in
相应的access-list为:
access-list 101 permit ip host 192.168.1.3 host 192.168.19.1 ;允许访问RCM1 access-list 101 permit ip host 192.168.1.3 host 192.168.24.200 ;允许访问Server
access-list 101 deny ip host 192.168.1.3 any ;拒绝访问其它这样,接在这个端口的主机A1,便不能与其它主机通讯。达到了端口隔离的目的。
注意:1.没有实测过是否影响影响交换性能。
2.端口F0/1如果级联下层交换机,对性能方面会有什么影响?
附:完整running-config
Switch#sh run
Building configuration...
Current configuration : 4581 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Switch
!
!
interface FastEthernet0/1
switchport access vlan 101
!
interface FastEthernet0/2
switchport access vlan 102
!
interface FastEthernet0/3
switchport access vlan 103
!
interface FastEthernet0/4
switchport access vlan 104
interface FastEthernet0/5 switchport access vlan 105 !
interface FastEthernet0/6 switchport access vlan 106 !
interface FastEthernet0/7 switchport access vlan 107 !
interface FastEthernet0/8 switchport access vlan 108 !
interface FastEthernet0/9 switchport access vlan 109 !
interface FastEthernet0/10 switchport access vlan 110 !
interface FastEthernet0/11 switchport access vlan 111 !
interface FastEthernet0/12 switchport access vlan 112 !
interface FastEthernet0/13 switchport access vlan 113 !
interface FastEthernet0/14 switchport access vlan 114
interface FastEthernet0/15 switchport access vlan 115 !
interface FastEthernet0/16 switchport access vlan 116 !
interface FastEthernet0/17 switchport access vlan 117 !
interface FastEthernet0/18 switchport access vlan 118 !
interface FastEthernet0/19 switchport access vlan 119 !
interface FastEthernet0/20 switchport access vlan 120 !
interface FastEthernet0/21 switchport access vlan 121 !
interface FastEthernet0/22 switchport access vlan 122 !
interface FastEthernet0/23 switchport access vlan 123 !
interface FastEthernet0/24 switchport access vlan 124
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
no ip address
shutdown
!
interface Vlan101
ip address 192.168.1.254 255.255.255.0 ip access-group 101 in
!
interface Vlan102
ip address 192.168.2.254 255.255.255.0 ip access-group 102 in
!
interface Vlan103
ip address 192.168.3.254 255.255.255.0 ip access-group 103 in
!
interface Vlan104
ip address 192.168.4.254 255.255.255.0 ip access-group 104 in
!
interface Vlan105
ip address 192.168.5.254 255.255.255.0 ip access-group 105 in
!
interface Vlan106
ip address 192.168.6.254 255.255.255.0 ip access-group 106 in
!
interface Vlan107
ip address 192.168.7.254 255.255.255.0 !
interface Vlan108
ip address 192.168.8.254 255.255.255.0 !
interface Vlan109
ip address 192.168.9.254 255.255.255.0 !
interface Vlan110
ip address 192.168.10.254 255.255.255.0 !
interface Vlan111
ip address 192.168.11.254 255.255.255.0 !
interface Vlan112
ip address 192.168.12.254 255.255.255.0 !
interface Vlan113
ip address 192.168.13.254 255.255.255.0 !
interface Vlan114
ip address 192.168.14.254 255.255.255.0 !
interface Vlan115
ip address 192.168.15.254 255.255.255.0 !
interface Vlan116
ip address 192.168.16.254 255.255.255.0 !
interface Vlan117
ip address 192.168.17.254 255.255.255.0 !
interface Vlan118
ip address 192.168.18.254 255.255.255.0 !
interface Vlan119
ip address 192.168.19.254 255.255.255.0 !
interface Vlan120
ip address 192.168.20.254 255.255.255.0 !
interface Vlan121
ip address 192.168.21.254 255.255.255.0 !
interface Vlan122
ip address 192.168.22.254 255.255.255.0 !
interface Vlan123
ip address 192.168.23.254 255.255.255.0 !
interface Vlan124
ip address 192.168.24.254 255.255.255.0 !
router rip
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
network 192.168.4.0
network 192.168.5.0
network 192.168.6.0
network 192.168.7.0
network 192.168.8.0
network 192.168.9.0
!
ip classless
ip route 192.168.100.0 255.255.255.0 192.168.19.1
!
!
access-list 101 permit ip host 192.168.1.3 host 192.168.19.1 access-list 101 permit ip host 192.168.1.3 host 192.168.24.200 access-list 101 deny ip host 192.168.1.3 any
access-list 102 permit ip host 192.168.2.3 host 192.168.19.1 access-list 102 permit ip host 192.168.2.3 host 192.168.24.200 access-list 102 deny ip host 192.168.2.3 any
access-list 103 permit ip host 192.168.3.3 host 192.168.19.1 access-list 103 permit ip host 192.168.3.3 host 192.168.24.200 access-list 103 deny ip host 192.168.3.3 any
access-list 104 permit ip host 192.168.4.3 host 192.168.20.1 access-list 104 permit ip host 192.168.4.3 host 192.168.24.200 access-list 104 deny ip host 192.168.4.3 any
access-list 105 permit ip host 192.168.5.3 host 192.168.20.1 access-list 105 permit ip host 192.168.5.3 host 192.168.24.200 access-list 105 deny ip host 192.168.5.3 any
access-list 106 permit ip host 192.168.6.3 host 192.168.20.1 access-list 106 permit ip host 192.168.6.3 host 192.168.24.200 access-list 106 deny ip host 192.168.6.3 any
!
!
line con 0 line vty 0 4 login
!
!
!
end Switch#
三层交换机生成树协议
编号:_______________本资料为word版本,可以直接编辑和打印,感谢您的下载 三层交换机生成树协议 甲方:___________________ 乙方:___________________ 日期:___________________
三层交换机生成树协议 篇一:网络工程技术生成树协议 1. 生成树stp的计算推导 (1) 手工计算推导出下图中的根交换机、根端口、指 定端口和阻塞端口 (假设每条链路带宽均为100mbps),最后 在packettracer6.0 模拟器上进行验证,通过抓包路径跟踪 的方法演示当主链路出现故障后的收敛过程和结果。 (2) 若使收敛时间更快速,可以采用哪种该进协议, 该方法的优势是什么? 优势: a、stp没有明确区分端口状态与端口角色,收敛时主要 依赖于端口状态的切换。Rstp比较明确的区分了端口状态与端口角色,且其收敛时更多的是依赖于端口角色的切换。 b、stp端口状态的切换必须被动的等待时间的超时。而 Rstp 端口状态的切换却是一种主动的协商。 c、stp中的非根网桥只能被动的中继bpdu。而Rstp中的非根网桥对bpdu的中继具有一定的主动性。 1、为根端口和指定端口设置了快速切换用的替换端口(alternateport) 和备
份端口(backupport) 两种角色,在根 端口/指定端口失效的情况下,替换端口/备份端口就会无 时延地进入转发状态,而无需等待两倍的转发时延(Forwarddelay)时间。 2、在只连接了两个交换端口的点对点链路中,指定端口只需与下游网桥进行一次握手就可以无时延地进入转发 状态。如果是连接了三个以上网桥的共享链路,下游网桥是不会响应上游指定端口发出的握手请求的,只能等待两倍Forwarddelay 时间进入转发状态。 3、将直接与终端相连而不是与其他网桥相连的端口定义为边缘端口(edgeport)。边缘端口可以直接进入转发状态,不需要任何延时。由于网桥无法知道端口是否直接与终端相连,因此需要人工配置。 (3) 交换机端口的颜色灯和闪烁频率,分别代表哪些含义?若要求交换机的端口直接接用户的pc机而不参与stp 运算,应如何进行设置? 颜色灯: 绿色灯表示可以发出 而黄色灯表示阻塞,不能发出闪烁频率:灯光闪烁说明有数据在传输,闪的快就说明比较频繁,也就是连续在端口上酉己置spanning-treeportfast 或
实验四 交换机端口安全技术
交换机端口安全技术 24.1 实验内容与目标 完成本实验,应该能够达到以下目标。 ● 掌握802.1x 的基本配置 ● 掌握端口隔离基本配置 ● 掌握端口绑定技术基本配置 24.2 实验组网图 本实验按照实验图24-1进行组网。 PCA PCB SWA 实验图24-1 实验组网图 24.3 实验设备与版本 本实验所需之主要设备器材如实验表24-1所示。 实验表 24-1 实验设备器材 24.4 实验过程 实验任务一 配置802.1x 本实验通过在交换机上配置802.1x 协议,使接入交换机的PC 经
过认证后才能访问网络资源。通过本实验,掌握802.1x认证的基本 原理和802.1x本地认证的基本配置。 步骤一:建立物理连接并初始化交换机配置。 按实验组网图进行物理连接,并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用默认的配置参数进行初始化。 步骤二:检查互通性。 分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后,在PCA上用ping命令来测试到PCB的互通性,其结果是。 步骤三:配置802.1x协议。 实现在交换机SWA上启动802.1x协议,过程如下: 首先需要分别在和开启802.1x认证功能,在 下面的空格中补充完整的命令。 [SWA] [SWA]dot1x 其次在SWA上创建本地802.1x用户,用户名为abcde,密码为 明文格式的12345,该用户的服务类型server-type是,在如下的空格中完成该本地用户的配置命令。 步骤四:802.1x验证。 配置完成后,再次在PCA上用ping命令来测试到PCB的互通性,其结果是。 导致如上结果的原因是交换机上开启了802.1x认证,需要在客 户端配置802.1x认证相关属性。 PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机,本实验以Windows系统自带客户端为例说明如何进行设置。 在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标,在弹出的窗口中双击“网络连接”图标,在弹出的窗口中右击“本地连接”图标,执行“属性”命令,如实验图24-2所示。 再选择“验证”选项卡,并选中“启用此网络的IEEE802.1x验证”复选框,如实验图24-3所示,然后单击“确定”按钮,保存退
第八章实验讲义-- 交换机基本配置端口安全与STP
第12章交换机基本配置 交换机是局域网中最重要的设备,交换机是基于MAC来进行工作的。和路由器类似,交换机也有IOS,IOS的基本使用方法是一样的。本章将简单介绍交换的一些基本配置。关于VLAN和Trunk等将在后面章节介绍。 12.1 交换机简介 交换机是第2层的设备,可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个:一个是维护CAM(Conetxt Address Memory)表,该表是计算机的MAC地址和交换端口的映射表;另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3种:交换机收到帧后,查询CAM表,如果能查询到目的计算机所在的端口,并且目的计算机所在的端口不是交换接收帧的源端口,交换机将把帧从这一端口转发出去(Forward);如果该计算机所在的端口和交换机接收帧的源端口是同一端口,交换机将过滤掉该帧(Filter);如果交换机不能查询到目的计算机所在的端口,交换机将把帧从源端口以外的其他所有端口上发送出去,这称为泛洪(Flood),当交换机接收到的帧是广播帧或多播帧,交换机也会泛洪帧。 12.2 实验0:交换机基本配置 1.实验目的: 通过本实验,可以掌握交换机的基本配置这项技能。 2.实验拓扑 实验拓扑图如图12-2所示。 图12-2 实验1拓扑图 3.实验步骤 (1)步骤1:通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端. 登录成功后, 通过PC0配置交换机Switch0的主机名 Switch>enable Switch#conf terminal
三层交换机端口IP地址配置方法
三层交换机端口IP地址配置方法 目前市场上的三层交换机有2种方式可以配置交换机端口的lP地址,一是直接在物理端口上设置.二是通过逻辑VLAN端口间接设置。为了分析这2种配置方法在交换机实际运行中会产生哪些差别.在详细分析了三层交换机端口工作原理的基础上.搭建测试环境,主要从端口初始化和三层路由收敛过程分析了2种方式的不同。通过分析发现,在交换机物理端口上直接配置IP地址,可以节省生成树协议(STP,Spanning Tree Protocol)收敛所需的时间,并且不需要规划额外的VLAN。为日后的运行维护工作带来了方便。 三层变换机能够快速地完成VIAN间的数据转发,从而避免了使用路由器会造成的三层转发瓶颈,目前已经在企业内部、学校和住宅小区的局域网得到大量使用。在配置三层交换机端口lP地址时,通常有2种方法:一是直接在物理端口上设置lP地址,二是通过逻辑VLAN端口间接地设置IP地址。 作者所在单位日前购得一批三层交换机,最初只立持第2种配置方法但在厂家随后升级的软件版本中可以支持以上2种配置方法。为了比较这2种方法的优缺点,本文首先阐述了三层交换机的工作原理,然后比较了这2种方法的操作命争和端口初始化时间.并通过测试得出结论。 1、三层交换机的工作原理 传统的交换技术是在OSI网络参考模型中的第二层(即数据链路层)进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发,利用第三层协议中的信息来加强笫二层交换功能的机制(见图1) 从硬件的实现上看,目前笫二层交换机的接口模块都是通过高速背扳/总线交换数据的。在第三层交换机中,与路由器有关的第三层路由硬件模块也插接在高速背板/总线上,这种方式使得路由模块可以与需要路由的其他模块高速地进行数据交换,从而突破了外接路由器接口速率的限制。 假设有2个使用IP协议的站点,通过第三层交换机进行通信的过程为:若发送站点1在开始发送时,已知目的站点2的IP地址,但不知遒它在局域网上发送所需要的MAC地址,则需要采用地址解析(ARP)来确定站点2的MAC地址。站点1把自己的IP地址与站点2的IP地址比较,采用其软件配置的子网掩码提取出网络地址来确定站点2是否与自己在同一子网内。若站点2与站点1在同一子网内,那么站点1广播一个ARP请求,站点2返回其MAC地址,站点1得到站点2的MAC地址后将这一地址缓存起来,并用此MAC地址封包转发数据,第二层交换模块查找MAC地址表确定将数据包发向目的端口。若2个站点不在同子网
交换机的端口安全配置
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
cisco 端口隔离 pvlan
在cisco 低端交换机中的实现方法: 1.通过端口保护(Switchitchport protected)来实现的。 2.通过PVLAN(private vlan 私有vlan)来实现. 主要操作如下: 相对来说cisco 3550或者2950交换机配置相对简单,进入网络接口配置模式: Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口 Switch(config-if-range)#Switchitchport protected #开启端口保护 ok...到此为止,在交换机的每个接口启用端口保护,目的达到. 由于4500系列交换机不支持端口保护,可以通过PVLAN方式实现。 主要操作如下: 交换机首先得设置成transparents模式,才能完成pvlan的设置。 首先建立second Vlan 2个 Switch(config)#vlan 101 Switch(config-vlan)#private-vlan community ###建立vlan101 并指定此vlan为公共vlan Switch(config)vlan 102 Switch(config-vlan)private-vlan isolated ###建立vlan102 并指定此vlan为隔离vlan Switch(config)vlan 200 Switch(config-vlan)private-vlan primary Switch(config-vlan)private-vlan association 101 Switch(config-vlan)private-vlan association add 102 ###建立vlan200 并指定此vlan为主vlan,同时制定vlan101以及102为vlan200的second vlan Switch(config)#int vlan 200 Switch(config-if)#private-vlan mapping 101,102 ###进入vlan200 配置ip地址后,使second vlan101与102之间路由,使其可以通信 Switch(config)#int f3/1 Switch(config-if)#Switchitchport private-vlan host-association 200 102 Switch(config-if)#Switchitchport private-vlan mapping 200 102 Switch(config-if)#Switchitchport mode private-vlan host ###进入接口模式,配置接口为PVLAN的host模式,配置Pvlan的主vlan以及second vlan,一定用102,102是隔离vlan 至此,配置结束,经过实验检测,各个端口之间不能通信,但都可以与自己的网关通信,实现了交换机端口隔离。 注:如果有多个vlan要进行PVLAN配置,second vlan必须要相应的增加,一个vlan只能在private vlan下作为second vlan。
交换机端口安全功能配置
---------------------------------------------------------------最新资料推荐------------------------------------------------------ 交换机端口安全功能配置 4 《交换与路由技术》实验报告书班级: 姓名: 学号: 课程名称交换与路由技术实验项目实验九交换机端口安全实验项目类型课程名称交换与路由技术实验项目实验九交换机端口安全实验项目类型验证演示综合设计其他验证演示综合设计其他指导教师成绩指导教师成绩一、实验目的了解交换机端口在网络安全中的重要作用,掌握交换机端口安全功能配置方法,具体包括以下几个方面。 (1)认识交换机端口安全功能用途。 (2)掌握交换机端口安全功能配置方法。 二、实验设备及环境针对这一工作任务,公司网络接入交换机的所有端口配置最大连接数为 1,并对公司每台主机连接的交换机端口进行 IP+MAC 地址绑定,模拟网络拓扑结构图如图 11.1 所示。 假设 PC1 的 IP 地址为 192.168.0.10/24, PC2 的 IP 地址为192.168.0.20/24, PC3 的 IP 地址为 192.168.0.30/24. 4 三、实验步骤第 1 步: 配置交换机端口的最大连接数限制。 进行一组端口 Fa 0/1-23 配置模式。 开启交换机端口安全功能。 1 / 3
配置端口的最大连接数为 1。 配置安全违例的处理方式为shutdown,即当违例产生时,关闭端口并发送一个Trap通知。 除此之外,还有两种违例处理方式: protect 方式,即当安全地址个数满后,安全端口将丢弃求知名地址的包;restrict 方式,即当违例产生时,将发送一个Trap 通知。 查看交换机的端口安全配置。 第 2 步: 配置交换机端口的地址绑定。 在 PC1 上打开 cmd 命令提示符窗口,执行 Ipconfig/all 命令,记录下 PC1 的 IP地址及 MAC 地址。 配置交换机端口的地址绑定。 查看地址安全绑定配置。 第 3 步: 验证交换机端口安全功能的效果。 在 PC1 连接交换机端口 Fa 0/1, PC2 连接交换机端口 Fa 0/2,PC3 连接交换机端口 Fa 0/10 情况下,执行下列操作。 4 在 PC1 的命令提示符下输入 C:bping 192.168.0.300 在PC2 的命令提示符下输入C:bping 192.168.0.300 在 PC1 连接交换机端口 Fa 0/2; PC2 连接交换机端口 Fa 0/1, PO 连接交换机端口Fa 0/10 情况下,执行下列操作。
三层交换机基本配置
三层交换机基本配置 【实验名称】 三层交换机端口配置 【实验目的】 配置开启三层交换机的三层功能,实现路由作用。 【背景描述】 为了隔离广播域而划分了VLAN,但不同的VLAN之间需要通信,本实验将实现这一功能。即同一VLAN里的计算机能跨交换机通信,不同VLAN里的计算机系统也能互相通信。 【技术原理】 三层交换机是在二层交换的基础上实现了三层的路由功能。三层交换机基于“一次路由,多次交换”的特性,在局域网环境中转发性能远远高于路由器。而且三层交换机同时具备二层的功能,能和二层交换机进行很好的数据转发。三层交换机的以太网接口要比一般的路由器多很多,更加适合多个局域网段之间的互联。 三层交换机本身默认开启了路由功能,可利用IP Routing命令进行控制。 【实验设备】 S3350(一台),PC机(两台)。 【实验拓扑】
注意:先连线,在进行配置,注意连接线缆的接口编号。S3350为三层交换机。 【实验步骤】 步骤一 开启三层交换机的路由功能: Switch>enable //进程特权模式 Switch #configure terminal //进入全局模式 Switch (config)#hostname s3350-24 S3350-24 (config)#ip routing //开启三层交换机的路由功能 步骤二 配置三层交换机端口的路由功能: S3350-24>enable //进入特权模式 S3350-24#configure terminal //进入全局模式 S3350-241 (config)#interface fastethernet 0/2 //进入fa0/2端口 S3350-24 (config-if)#no switchport //开启端口的三层路由功能 S3350-24 (config-if)#ip address 192.168.5.254 255.255.255.0 //配置ip地址S3350-24 (config-if)#no shutdown //启用端口,使其转发数据
cisco交换机的端口安全配置
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)
网络拓扑图如下: 根据图示连接设备。 在本次试验中,具体端口情况如上图数字标出。核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。 IP 地址分配: Router:e0::f0/1: 接口:Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址:区域网段地址: PC1:PC2:路由器清空配置命令: en erase startup-config Reload 交换机清空配置命令: en erase startup-config
delete Reload 加速命令: en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配,防止OFFICE 网络发生ARP 攻击,不允许OFFICE 网段PC 互访;STUDENTS 区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击; 1、基本配置 SW1的配置: SW1(config)#vtp domain cisco 然后在pc上进入接口,设置为DHCP获取地址,命令如下: int f0/1 ip add dhcp 查看结果:
5、Student区域ARP防护: SW2配置如下: ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量,此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址,就可以发现端口down状态,修改mac地址命令如下: pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证: 服务器地址为:vlan 30 //创建vlan 30的原因:在sw1、sw2中配置svi口,服务器的地址为,使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机,所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct
3三层交换机、路由端口配置
Sw-a Switch>en Switch#conf t Switch(config)#int fa0/24 Switch(config-if)#no switchport Switch(config-if)#ip address 10.1.1.2 255.255.255.0 Switch(config-if)#no shut Switch(config-if)#exit Switch(config)#hostname sw-a sw-a(config)#router sw-a(config)#router rip sw-a(config-router)#version 2 sw-a(config-router)#no auto-summary sw-a(config-router)#net 10.1.1.0 sw-a(config-router)#net 192.168.10.0 sw-a(config-router)#net 192.168.20.0 sw-a(config-router)#net 192.168.30.0 sw-a(config-router)#exi sw-a(config)#ip router sw-a(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1 sw-a(config)#end sw-a#show ip route sw-b Switch>enable Switch#conf t Switch(config)#interface fastEthernet0/24 Switch(config-if)#no switchport Switch(config-if)#ip add 20.2.2.2 255.255.255.0 Switch(config-if)#no shut Switch(config-if)#exi Switch(config)#hostname Switch(config)#hostname sw-b sw-b(config)#route rip sw-b(config-router)#version 2 sw-b(config-router)#no auto-summary sw-b(config-router)#network 20.2.2.0 sw-b(config-router)#network 192.168.10.0 sw-b(config-router)#network 192.168.20.0 sw-b(config-router)#network 192.168.30.0 sw-b(config-router)#exi sw-b(config)#ip route 0.0.0.0 0.0.0.0 20.2.2.1
接入交换机常见安全配置
适用场景:1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机 堆叠环境中,若未指定优先级,则是根据它们的MAC地址(mac小的为主机)来确定谁是主机。优先级为越大越好,范围1-10。出场默认为1。 1、系统时间同步:如果客户有使用 ntp/sntp进行全网统一的时间配置的需求,可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名 Ruijie(config)#sntp enable //首先开启 sntp 服务 Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址,此为国家授时中心服务器IP 地址 Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔 措施一:限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#line vty 0 35 Ruijie(config-line)#access-class 99 in 措施二:限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99 措施三:使用加密管理协议,使用SSH管理,禁用Telnet协议 Ruijie(config)#no enable service telnet-server //禁用telnet管理 Ruijie(config)#enable service ssh-server //启用SSH管理 Ruijie(config)#crypto key generate dsa //设置ssh加密模式
H3C交换机Trunk端口配置
组网需求: 1.SwitchA与SwitchB用trunk互连,相同VLAN的PC之间可以互访,不同VLAN的PC之间禁止互访; 2.PC1与PC2之间在不同VLAN,通过设置上层三层交换机SwitchB的VLAN 接口10的IP地址为10.1.1.254/24,VLAN接口20的IP地址为20.1.1.254/24可以实现VLAN间的互访。 组网图: 1.VLAN内互访,VLAN间禁访 2.通过三层交换机实现VLAN间互访 配置步骤: 实现VLAN内互访VLAN间禁访配置过程 SwitchA相关配置: 1.创建(进入)VLAN10,将E0/1加入到VLAN10 [SwitchA]vlan 10 [SwitchA-vlan10]port Ethernet 0/1 2.创建(进入)VLAN20,将E0/2加入到VLAN20 [SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2 3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1 [SwitchA-GigabitEthernet1/1]port link-type trunk [SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20 SwitchB相关配置: 1.创建(进入)VLAN10,将E0/10加入到VLAN10 [SwitchB]vlan 10 [SwitchB-vlan10]port Ethernet 0/10 2.创建(进入)VLAN20,将E0/20加入到VLAN20 [SwitchB]vlan 20 [SwitchB-vlan20]port Ethernet 0/20 3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过[SwitchB]interface GigabitEthernet 1/1 [SwitchB-GigabitEthernet1/1]port link-type trunk [SwitchB-GigabitEthernet1/1]port trunk permit vlan 10 20 通过三层交换机实现VLAN间互访的配置 SwitchA相关配置: 1.创建(进入)VLAN10,将E0/1加入到VLAN10 [SwitchA]vlan 10 [SwitchA-vlan10]port Ethernet 0/1 2.创建(进入)VLAN20,将E0/2加入到VLAN20 [SwitchA]vlan 20 [SwitchA-vlan20]port Ethernet 0/2 3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过[SwitchA]interface GigabitEthernet 1/1 [SwitchA-GigabitEthernet1/1]port link-type trunk [SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20 SwitchB相关配置: 1.创建VLAN10 [SwitchB]vlan 10 2.设置VLAN10的虚接口地址
cisco交换机端口隔离的实现方法
现在网络安全要求也越来越多样化了,一个局域网有时候也希望用户不能互相访问(如小区用户),只能和网关进进行通讯。H3C交换机可以用端口隔离来实现,下面给大家介绍一下在cisco的交换机上面如何来实现这样的(端口隔离)需求。 在cisco 低端交换机中的实现方法: 1.通过端口保护(Switchitchport protected)来实现的。 2.通过PVLAN(private vlan 私有vlan)来实现. 主要操作如下: 相对来说cisco 3550或者2950交换机配置相对简单,进入网络接口配置模式: Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口 Switch(config-if-range)#Switchitchport protected #开启端口保护 ok...到此为止,在交换机的每个接口启用端口保护,目的达到. 由于4500系列交换机不支持端口保护,可以通过PVLAN方式实现。 主要操作如下: 交换机首先得设置成transparents模式,才能完成pvlan的设置。 首先建立second Vlan 2个 Switch(config)#vlan 101 Switch(config-vlan)#private-vlan community ###建立vlan101 并指定此vlan为公共vlan Switch(config)vlan 102 Switch(config-vlan)private-vlan isolated ###建立vlan102 并指定此vlan为隔离vlan Switch(config)vlan 200 Switch(config-vlan)private-vlan primary
三层交换机端口配置
三层交换机端口配置 实验名称:三层交换机端口配置。 实验目的:配置开启三层交换机的三层功能,实现路由作用。背景描述:公司现有1台三层交换机,要求你进行测试,该交换机的三层功能是否工作正常。 技术原理:三层交换机是在二层交换的基础上实现了三层的路由功能。三层交换机基于“一次路由,多次交 换”的特性,在局域网环境中转发性能远远高于 路由器。而且三层交换机同时具备二层的功能, 能够和二层交换机进行很好的数据转发。三层交 换机的以太接口要比一般的路由器多很多,更加 适合多个局域网段之间的互联。 三层交换机的所有端口在默认情况下都属于二 层端口,不具路由功能。不能给物理端口直接配 置IP地址。但可以开启物理端口的三层路由功 能。 实现功能:开启三层交换机物理端口的路由功能。 实验设备:S3560(1台)、PC机(1台)、直连线(1条) 实验拓扑:
实验步骤: 步骤1:开启三层交换机的路由功能。 SwitchA#configure terminal SwitchA(config)#hostname S3550 S3550(config)#ip routing 步骤2:配置三层交换机端口的路由功能。 S3550#configure terminal S3550 (config)# interface fastethernet 0/5 S3550 (config-if)#no switchport S3550 (config-if)#ip address 192.168.5.1 255.255.255.0 S3550 (config-if)#no shutdown S3550 (config-if)#end 步骤3:验证、测试配置。 S3550# show ip interface S3550# show interface f0/5 Ping 192.168.5.1 F0/5 S3550 PC1 SwitchA 192.168.5.1/24 192.168.5.2/24
交换机端口隔离
实验一 实验名称:交换机端口隔离(Port Vlan)。 实验目的:理解Port Vlan的配置。 技术原理:在交换机组成的网络里所有主机都在同一个广播域内,通过VLAN技术可以对网络进行一个安全的隔离、分割广播域。VLAN (Virtual Local Area Network),是在一个物理网络上划分出来的逻辑网络,这个网络对应于OSI 模型的第二层网络。VLAN的划分不受网络端口的实际物理位置的限制。VLAN 有着和普通物理网络同样的属性。第二层的单播、广播和多播帧在一个VLAN内转发、扩散,而不会直接进入其他的VLAN之中,即通过VLAN的划分,不同VLAN间不能够直接访问。一个端口只属于一个VLAN, Port VLAN设置在连接主机的端口,这时MAC地址表多了一项VLAN信息。 实现功能:通过划分Port Vlan实现本交换机端口隔离。 实验设备:S2126G一台,主机四台,直连网线四根。 实验拓朴:
实验步骤:1.创建VLAN。(此时四台PC都能PING通) Switch>enable ! 进入特权模式。 Switch# configure terminal ! 进入全局配置模式。 switch(config)# vlan 100 !创建vlan 100 switch(config-vlan)#name testvlan100 ! 将vlan 100命名为testvlan100. switch(config-vlan)# exit switch(config)# vlan 200 !创建vlan 200。 Switch(config-vlan)# name testvlan200 ! 将vlan 200命名为testvlan200。 switch(config-vlan)# end ! 直接退回到特权模式. switch# show vlan !查看已配置的vlan信息.默认所有端口都属于vlan1. VLAN Name Status Ports
5.1交换机端口安全
5.1交换机端口安全-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
案例一交换机端口安全 【案例描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是/24,主机MAC地址是00-06-1B-DE-13-B4.该主机连接在1台2126G上边。 【教学目标】 掌握交换机最大连接数及进行IP+MAC地址绑定技术。 【案例拓扑】 【案例实施】 步骤1 配置交换机的最大连接数限制 Switch#conf t Switch(config)#interface range fastEthernet 0/1-23 !进行一组端口的配置模式 Switch(config-if-range)#switchport port-security !开启交换机的端口安全功能
Switch(config-if-range)#switchport port-security maximum 1 !配置端口的最大连接数为1 Switch(config-if-range)#switchport port-security violation shutdown !配置安全违例的处理方式为 shutdown 验证测试:查看交换机的端口安全配置 Switch#SHow port-security Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action ------------ -------------------- ------------------ ---------------- Fa0/1 1 0 Shutdown Fa0/2 1 0 Shutdown Fa0/3 1 0 Shutdown Fa0/4 1 0 Shutdown Fa0/5 1 0 Shutdown Fa0/6 1 0 Shutdown Fa0/7 1 1 Shutdown Fa0/8 1 0 Shutdown Fa0/9 1 1 Shutdown Fa0/10 1 0 Shutdown Fa0/11 1 0 Shutdown Fa0/12 1 1 Shutdown Fa0/13 1 1 Shutdown Fa0/14 1 0 Shutdown Fa0/15 1 1 Shutdown Fa0/16 1 0 Shutdown Fa0/17 1 0 Shutdown Fa0/18 1 0 Shutdown Fa0/19 1 0 Shutdown Fa0/20 1 1 Shutdown Fa0/21 1 0 Shutdown Fa0/22 1 1 Shutdown Fa0/23 1 0 Shutdown 步骤2 配置交换机端口的地址绑定 1. 查看主机的IP和MAC地址信息 在主机上打开cmd命令提示窗口,执行ipconfig/all命令 C:\Documents and Settings\Administrator>ipconfig/all Windows IP Configuration Host Name . . . . . . . . . . . . : 25-56d2b5f93f1 Primary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : Unknown IP Routing Enabled. . . . . . . . : Yes WINS Proxy Enabled. . . . . . . . : No Ethernet adapter 本地连接: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Eth
2.10 交换机端口安全配置
2.10 交换机端口安全配置1 预备知识: 网络安全涉及到方方面面,从交换机来说,首选需要保证交换机端口的安全。在不少公司或网络中,员工可以随意的使用集线器等工具将一个上网端口增至多个,或者说使用自己的笔记本电脑连接到网络中,类似的情况都会给企业的网络安全带来不利的影响。 交换机的端口安全特性可以让我们配置交换机端口,使得当网络上具有非法MAC地址的设备接入时,交换机会自动关闭或者拒绝非法设备接入,也可以限制某个端口上最大的MAC地址连接数。配置端口安全时一般在接入层交换机上配置,使非法接入的设备挡在网络最低层,不会影响网络带宽。 交换机的端口安全能从限制接入端口的最大连接数和接入MAC地址来达到安全配置。 一、实训目的 1、了解交换机端口安全的作用。 2、能读懂交换机MAC地址表。 3、掌握配置交换机端口安全的方法。 二、应用环境 某企业一些办公室里出现了一些员工没经过网络中心允许私自带个人手提电脑连上公司局域网的情况,一些个人电脑中毒后在局域网内发送病毒,影响了公司的正常上网。交换机端口安全特性可以让我们配置交换机端口,使得当具有非法MAC地址的设备接入时交换机会自动关闭接口或者拒绝非法设备接入,也可以限制某个端口上最大的MAC地址数。 三、实训要求 1.设备要求: 1)两台2950-24二层交换机、四台PC机。 2)一条交叉双绞线、四条直通双绞线。 2.实训拓扑图 3.配置要求:
2)交换机配置要求: 在交换机S1上的F0/24上启用端口安全、限制最大连接MAC 地址数为2并设置发生违例后丢弃新加入计算机发送的数据包并发送警告信息。 4. 实训效果:PC1、PC2、PC3之间能互联互通,P1、 PC2机PING PC4不通,PC3与PC4 互通。 四、实训步骤 1、 添加设备并连接部分网络。 2、 进入F0/24启用端口安全配置。 3、 设置端口最大连接MAC 数限制。 4、 设置违例处理方式。 5、 测试效果。 五、详细步骤 1、 按要求添加二台2950-24二层交换机和四台PC 机。 2、 按实训配置要求设置四台PC 机的IP 地址信息。 3、 按如下拓扑图连接设备,如下图所示。 4、 进入交换机S1的命令行配置窗口,在特权用户配置模式下使用show mac-address-table 命令查看交换机MAC 地址表。