收藏 分享(赏)

端口安全.ppt

上传人:Facebook 文档编号:3493294 上传时间:2018-11-05 格式:PPT 页数:30 大小:3.46MB
下载 相关 举报
端口安全.ppt_第1页
第1页 / 共30页
端口安全.ppt_第2页
第2页 / 共30页
端口安全.ppt_第3页
第3页 / 共30页
端口安全.ppt_第4页
第4页 / 共30页
端口安全.ppt_第5页
第5页 / 共30页
点击查看更多>>
资源描述

1、三层交换VLAN间路由,【实验拓扑】,F0/24,F0/10,NIC,F0/24,F0/2,S3750,VLAN10,VLAN20,VLAN 10,F0/20,四、实现VLAN间通信的原理,【实验拓扑】,F0/24,F0/10,NIC,F0/24,F0/2,S3750,VLAN10,VLAN20,F0/20,SVI 10,SVI 20,目的网段 转发方式 192.168.10.0 从SVI 10口发出 192.168.20.0 从SVI 20口发出172.16.1.0 交给B,三层交换机,在逻辑上 三层交换和路由是等同的,三层交换的过程就是IP报文选路的过程。 三层交换机与路由器在转发操作上的

2、主要区别在于其实现的方式: 三层交换机通过硬件实现查找和转发 传统路由器通过微处理器上运行的软件实现查找和转发 三层交换机的转发路由表与路由器一样,需要软件通过路由协议来建立和维护,SVI (Switch virtual interface) 是和某个VLAN 关联的IP接口。每个 SVI 只能和一个VLAN关联,可分为以下两种类型: SVI 是本机的管理接口,通过该管理接口管理员可管理交换机。 SVI 是一个网关接口,用于3层交换机中跨VLAN之间的路由。 您可通过interface vlan 接口配置命令来创建SVI,然后给SVI 分配IP地址来建立VLAN之间的路由。如图所示,VLAN2

3、0 的主机可直接互相通讯,无需通过三层交换机的路由,若 VLAN10、20、30、40内的主机相互通讯必须通过各个VLAN 对应的 SVI。,3层接口可分为以下几种类型 SVI(Switch virtual interface) Routed port L3 Aggregate Port Routed port 在三层交换机上,可以使用单个物理端口作为三层交换的网关接口,这个接口称为Routed port。Routed port不具备2层交换的功能。您可通过no switchport命令将一个2层接口switch port转变为Routed port,然后给Routed port 分配IP地址

4、来建立路由。 一个限制是,当一个接口是L2 Aggregate Port 的成员口时,是不能用switchport/ no switchport 命令进行层次切换的。,课程议题,交换机端口安全,利用端口安全这个特性,你可以通过限制允许访问交换机上某个端口的MAC地址以及IP(可选)来实现严格控制对该端口的输入。当你为安全端口(打开了端口安全功能的端口)配置了一些安全地址后,则除了源地址为这些安全地址的包外,这个端口将不转发其它任何报。,交换机端口安全,利用交换机的端口安全功能实现 防止局域网大部分的内部攻击对用户、网络设备造成的破坏,如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。 交换

5、机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑定,交换机端口安全,安全违例产生于以下情况: 如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数 如果该端口收到一个源地址不属于端口上的安全地址的包,当安全违例将产生时,可以选择多种方式来处理违例,比如丢弃接收到的报,发送违例通知或关闭相应端口等。当安全违例产生时,你可以选择多种方式来处理违例: Protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包 Restrict:当违例产生时,将发送一个Trap通知 Shutdown:当违例产生时,将关闭端口并发送一个T

6、rap通知,当设置了安全端口上安全地址的最大个数后,你可以使用下面几种方式加满端口上的安全地址: 可以使用接口配置模式下的命令switchport port-security mac-address mac-addressip-addressip-address来手工配置端口的所有安全地址。 也可以让该端口自动学习地址,这些自动学习到的地址将变成该端口上的安全地址,直到达到最大个数。 需要注意的是,自动学习的安全地址均不会绑定IP地址,如果在一个端口上,你已经配置了绑定IP地址的安全地址,则将不能再通过自动学习来增加安全地址。,配置安全端口,端口安全最大连接数配置 switchport por

7、t-security 打开该接口的端口安全功能 switchport port-security maximum value !设置接口上安全地址的最大个数,范围是1128,缺省值为128 switchport port-security violationprotect|restrict |shutdown!设置处理违例的方式 注意:1、端口安全功能只能在上进行access端口配置。2、当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。,配置安全端口,端口的安全地址绑定 switchport port-security !

8、打开该接口的端口安全功能 switchport port-security mac-address mac-address ip-address ip-address !手工配置接口上的安全地址 注意:1、端口安全功能只能在access端口上进行配置2、端口的安全地址绑定方式有:单MAC、单IP、MAC+IP,案例(一),下面的例子是配置接口gigabitethernet1/3上的端口安全功能,设置最大地址个数为8,设置违例方式为protect Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Sw

9、itch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)# end,案例(二),下面的例子是配置接口fastethernet0/3上的端口安全功能,配置端口绑定地址,主机MAC为00d0.f800.073c,IP为192.

10、168.12.202 Switch# configure terminal Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202 Switch(config-if)# end,查看配置信息,查看所有接口

11、的安全统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等Switch#show port-security Secure Port MaxSecureAddr CurrentAddr Security Action - - - - Gi1/3 8 1 Protect 查看安全地址信息 Switch# show port-security addressVlan Mac Address IP Address Type Port Remaining Age(mins)- - - - - -1 00d0.f800.073c 192.168.12.202 Configured Fa0/3

12、8 1,F0/5,NIC,NIC,F0/24,F0/3,端口 安全,VLAN 3,F0/10,VLAN 5,VLAN 10,F0/24,课程议题,风暴的抑制,概述 当一个端口上接收到过量的广播、多播或未知名单播包时,一个就数据包的风暴会产生,这会导致网络变慢和报文传输超时几率大大增加。协议栈的执行错误或对网络的错误配置都有可能导致风暴的产生。,我们可以分别针对广播、多播和未知名单播数据流进行风暴控制。当接收到的广播、多播或未知名单播包过量时,交换机将暂时禁止相应类型的包的转发直到数据流恢复正常(这时包的转发将恢复正常)。 S3550/S3750系列交换机的所有千兆接口支持风暴控制的设置。S37

13、50-24/48 交换机的千兆口和百兆均支持风暴控制,并且支持配置风暴产生的阀值:只允许广播、多播和未知名单播数据流占用接口一定比例的带宽,你可以通过命令来配置这个占用带宽的最大比例,配置风暴控制 缺省情况下,针对广播、多播和未知名单播的风暴控制功能均被关闭。 针对百兆、千兆接口打开其各种数据流(广播、多播和未知名单播)的风暴控制开关 Switch(config)#interface fastEthernet 0/1 Switch(config-if)#storm-control broadcast level 30 storm-control multicast level level st

14、orm-control unicast level level,Level是一个百分数,值的范围从1100。表示接口允许通过广播包数据的最大流量占接口最大带宽(百兆端口为100Mbps,千兆端口为1000Mbps)的百分比,当流量超过level 表示的百分比的时,接口将丢弃超出部分的广播包。缺省值为1000 个报文/秒。,show storm-control interface-id,copy running-config startup-config,Switch#show storm-control broadcast Interface Filter State Upper Lower

15、Current - - - - - Fa0/1 Link Down 30.00% 30.00% 0.00%,一次查看所有接口的风暴控制功能的使能状态: Switch# show storm-control Interface Broadcast Control Multicast Control Unicast Control - - - - Fa 0/1 Disabled Disabled Disabled Fa 0/2 Disabled Disabled Disabled Fa 0/3 Enabled 20% Enabled30% Enabled40% Fa 0/4 Disabled Disabled Disabled Fa 0/5 Disabled Disabled Disabled Fa 0/6 Disabled Enabled50% Disabled,F0/23,【综合实验拓扑】,F0/5,NIC,F0/5,NIC,F0/24,F0/23,F0/24,F0/3,端口 聚合,端口 安全,F1/0,F0/4,NIC,F0/5,NIC,F0/23,F0/24,F0/3,端口 聚合,风暴 抑制,F1/1,【综合实验拓扑】,端口 安全,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 中等教育 > 小学课件

本站链接:文库   一言   我酷   合作


客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报