0


Cisco Packet Tracer 思科中交换机端口安全配置与风暴控制

通过MAC地址表记录连接到交换机端口的以太网MAC地址(即网卡号),并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时,端口安全特性会阻止它。

情境分析

非授权的计算机接入网络造成公司信息管理成本增加,不仅影响公司正常用户的网络使用,并且能造成严重的网络安全问题。在接入交换机上配置端口安全功能,利用MAC地址绑定不仅可以解决非授权计算机影响正常网络使用的问题,而且还可以避免恶意的用户利用未绑定MAC地址的端口来实施的MAC地址泛洪攻击。

所需设备:

(1)CISCO3560三层交换机1台。

(2)CISCO2960二层交换机1台。

(3)PC机4台。

(4)直通线4条。

(5)交叉线1条。

(6)Console配置线1条。

实训拓扑,如图5-1-1所示。

图5-1-1 交换机端口安全配置

网络设备和PC机的IP地址及端口信息,如表5-1-1所示。

表5-1-1 网络设备和PC机的IP地址及端口信息表

设备

端口成员

IP地址

子网掩码

备注

C3560的Vlan0

192.168.1.254

255.255.255.0

C3560的Vlan20

192.168.2.254

255.255.255.0

C3560

Fa0/1

255.255.255.0

trunk

C2960的Vlan 10

Fa0/1

255.255.255.0

Fa0/2

255.255.255.0

C2960的Vlan 20

Fa0/3

255.255.255.0

Fa0/4

255.255.255.0

C2960

Fa0/24

255.255.255.0

trunk

PC1

192.168.1.1

255.255.255.0

mac: 000B.BE24.625A

PC2

192.168.1.2

255.255.255.0

mac: 0009.7C90.B8B8

PC3

192.168.2.1

255.255.255.0

mac: 00D0.9777.EA8C

PC4

192.168.2.2

255.255.255.0

mac: 0001.43AA.3B92

步骤实现

步骤1:按照如图5-1-1所示,连接网络拓扑结构图。

步骤2:按照如表5-1-1所示,配置计算机的IP地址、子网掩码和网关。

步骤3:配置交换机C2960的主机名称,创建vlan10和vlan20,将fa0/1-2划入vlan10,fa0/3-4划入vlan20,将fa0/24配置成trunk。

Switch>enable

Switch#conf t

Switch(config)#hostname C2960  修改主机名为C2960

C2960(config)#vlan 10  进入vlan

C2960(config-vlan)#exit

C2960(config)#vlan 20

C2960(config-vlan)#exit

C2960(config)#int range f0/1-2  批量进入端口

C2960(config-if-range)#switchport mode access 开启访问模式 

!将端口设置为访问模式后,此端口才能启用port-security功能

C2960(config-if-range)#switchport access vlan 10  把vlan划分到端口里面

C2960(config-if-range)#exit

C2960(config)#int range f0/3-4

C2960(config-if-range)#switchport mode access

C2960(config-if-range)#switchport access vlan 20

C2960(config-if-range)#exit

C2960(config)#int f0/24

C2960(config-if)#switchport mode trunk  开启truck模式,允许所有vlan通过

C2960(config-if)#exit

C2960(config)#

基于中继链路协商的原则,C2960通过配置trunk来向C3560发送DTP(动态中继协议)并与C3560协商中继链路。即只需在C2960设备(或C3560)一端配置trunk就可以实现中继链路协商成功。

步骤4:配置交换机C3560的主机名称,创建Vlan10和vlan20,并Vlan10和vlan20的SVI接口配置IP地址,并启用交换机的路由功能。

Switch>enable

Switch#conf t

Switch(config)#hostname C3560

C3560(config)#vlan 10

C3560(config-vlan)#exit

C3560(config)#vlan 20

C3560(config-vlan)#exit

C3560(config)#int vlan 10

C3560(config-if)#ip address 192.168.1.254 255.255.255.0

C3560(config-if)#no shutdown

C3560(config-if)#exit

C3560(config)#int vlan 20

C3560(config-if)#ip address 192.168.2.254 255.255.255.0

C3560(config-if)#no shutdown

C3560(config-if)#exit

C3560(config)#ip routing             !三层交换机须启用路由功能才能实现VLAN间通信

C3560(config)#

步骤5:在交换机C2960上针对不同VLAN的主机配置端口安全。

C2960(config)#int range f0/1-2                           !进入VLAN10所在端口

C2960(config-if-range)#switchport port-security       !将f0/1和f0/2端口启用端口安全功能

C2960(config-if-range)#switchport port-security maximum 1  !设置端口的最大连接数为1

C2960(config-if-range)#switchport port-security violation shutdown

                                                             !设置违例处理方式为关闭端口

C2960(config-if-range)#switchport port-security mac-address sticky

                                                       !设置基于粘性的安全MAC地址

C2960(config-if-range)#exit

C2960(config)#int f0/3                                   !进入f0/3端口

C2960(config-if)#switchport port-security          !将f0/3端口启用端口安全功能

C2960(config-if)#switchport port-security mac-address 00d0.9777.ea8c

                                                          !将f0/3端口进行MAC地址绑定

C2960(config-if)#switchport port-security violation shutdown

                                                            !设置违例处理方式为关闭端口

C2960(config-if)#exit

C2960(config)#int f0/4                                    !进入f0/4端口

C2960(config-if)#switchport port-security          !将f0/4端口启用端口安全功能

C2960(config-if)#switchport port-security mac-address 0001.43aa.3b92

                                                          !将f0/4端口进行MAC地址绑定

C2960(config-if)#switchport port-security violation shutdown

                                                          !设置违例处理方式为关闭端口

C2960(config-if)#exit

C2960(config)#

基于粘滞的端口安全工作机制是当接口通过自动学习添加了白名单,这时该白名单会以配置的形式保存在交换机上,即便接口关闭后,该接口原有的MAC地址表项删除了,该白名单信息还存在,这样比较安全。

步骤6:验证

C2960#show mac-address-table   查看设备MAC地址表

C2960#show port-security   查看端口安全配置
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------
Fa0/1 1 1 0 Shutdown               !端口安全已经配置
Fa0/2 1 1 0 Shutdown               !端口安全已经配置
Fa0/3 1 1 0 Shutdown               !端口安全已经配置
Fa0/4 1 1 0 Shutdown               !端口安全已经配置
----------------------------------------------------------------------
C2960#

C2960#show port-security interface fa0/1  查看fa0/1的端口配置是否生效
Port Security : Enabled                  !已开启
Port Status : Secure-up                  !已生效
Violation Mode : Shutdown                !违例就关闭

当端口因违例而被关闭后,要恢复端口状态有两种方法:

(1)在全局配置模式下使用命令errdisable recovery来将接口从错误状态恢复过来。(模拟器不支持)

(2)先将已关闭端口配置shutdown之后再配置no shutdown即可。

安全的MAC地址类型有三种:

(1)静态安全的MAC地址:手工配置,存储在MAC地址表内并加入到交换机的配置文件中(running-config)。

(2)动态安全的MAC地址:动态学习,只存储在MAC地址表中,交换机重启之后丢失。

(3)粘性(sticky)安全的MAC地址:可以动态学习,也可以手工配置,存储在MAC地址表内并加入到交换机的配置文件中(running-config),如果配置被保存,即使交换机重启也无需重新配置。

当安全违例产生时,处理方式有3种:

(1)protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。

(2)restrict:当违例产生时,将发送一个trap通知。

(3)shutdown:当违例产生时,将关闭端口并发送一个trap通知

2.MAC地址绑定

Mac地址是一台交换机发送给一台主机的信息,是定向回复的,一般都是静态端口类型

(静态端口类型情况下,发送的信息只有自己知道,别人无法改变)

二、交换机的风暴控制

(1)概述

端口接收到过量的广播、未知名多播或未知名单播包时,数据包的广播风暴就产生,导致报文传输延时增大和网络变慢。

可以分别针对广播、未知名多播或未知名单播数据流进行风暴控制。当接口接收到的广播、未知名多播或未知名单播包的速率超过所设定的阀值时,设备将只允许通过所设定阀值带宽的报文,超出阀值部分的报文将被丢弃,直到数据流恢复正常,从而避免过量的泛洪报文进入局域网形成风暴。

(2)配置风暴控制

缺省情况下,针对广播、多播和未知名单播的风暴控制功能均被关闭。

在接口配置模式下配置风暴控制:

Switch(config)#
Switch(config)#in f0/1  进入端口
Switch(config-if)#sw mo a 开启端口访问模式
Switch(config-if)#storm-control broadcast level 20 
 打开交换机风暴控制功能,允许通过的带宽为20%

课堂训练

(1)在交换机上的端口fastethernet 0/1上应用端口安全功能,设置最大地址个数为2,设置违例方式为shutdown。

(2)为交换机上的端口fastethernet 0/10上应用端口安全功能,并配置一个安全地址:1d01.1f0c.017a。

学习小结:

交换机端口安全模式配置:
Switch(config)#in f 0/1
Switch(config-if)#sw mo a
Switch(config-if)#sw mo t

Switch(config-if)#switchport port-security  开启交换机的端口安全模式

Switch(config-if)#switchport port-security maximum 1  设置端口最大连接数为1  
 PS:maximum value    value  安全地址的最大值,范围为1—128

Switch(config-if)#sw port-security violation ?  违规处理方式

  protect   Security violation protect mode   当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。
  restrict  Security violation restrict mode  发送通知
  shutdown  Security violation shutdown mode  发送通知并关闭端口
Switch(config-if)#sw port-security violation shutdown  设置违规处理方式为关闭端口

Switch(config-if)#sw port-security mac-address sticky  设置基于粘性的mac地址

Switch(config-if)#sw port-security mac-address 00d0.9777.ea8c  将端口进行mac地址绑定

(2)配置保护端口

switch(config-if)# switchport protected

(3)查看保护端口

switch# show interfaces switchport

交换机风暴控制:
Switch(config)#
Switch(config)#in f0/1  进入端口
Switch(config-if)#sw mo a 开启端口访问模式
Switch(config-if)#storm-control broadcast level 20 
 打开交换机风暴控制功能,允许通过的带宽为20%

每日一言:

一年中和一生中的秋天,时光很短暂,但是更加晴朗而缺少变化。

标签: 安全 网络 服务器

本文转载自: https://blog.csdn.net/weixin_59507792/article/details/126819885
版权归原作者 Super鸣_ 所有, 如有侵权,请联系我们删除。

“Cisco Packet Tracer 思科中交换机端口安全配置与风暴控制”的评论:

还没有评论