|
1��、 配置端口安全
Switch(config)#int f0/1
Switch(config-if)#switchport port-security
Switchport port-security mac-address 0001.0001.0001
Switchport port-security maximum 1
Switchport port-secruity violation shutdown
注意事項(xiàng):
l 配置安全端口之前必須使用命令switchport mode access將端口設(shè)置為access端口�。
l 當(dāng)端口由于違規(guī)被關(guān)閉時(shí),可以在全局模式下用errdisable recovery 命令將其恢復(fù)到UP狀態(tài)���。
l 在實(shí)驗(yàn)中安全MAC地址清配置為測試主機(jī)PC1的真實(shí)MAC地址�。
2�����、 配置動態(tài)ARP檢測
SW2(config)#ip arp inspection
SW2(config)#ip arp inspection vlan 2
! 在VLAN2上啟用DAI
SW2(config)#int f0/24
SW2(config-if)#ip arp inspection trust
! 配置F0/24端口為監(jiān)控信任端口
注意事項(xiàng):
l DHCP監(jiān)聽只能夠配置在物理端口上����,不能配置在VLAN接口上����。
l DAI只能夠配置在物理端口上�,不能配置在VLAN接口上。
l 如果端口所屬的VLAN啟用了DAI����,并且為Untrust端口,當(dāng)端口收到ARP報(bào)文后����,若查找不到DHCP監(jiān)聽表項(xiàng),則丟棄ARP報(bào)文��,造成網(wǎng)絡(luò)中斷���。
l WinArpSpoofer軟件僅可用于實(shí)驗(yàn)���。
3、 配置端口阻塞
Switch(config)#int f0/3
Switch(config-if)#switchport block unicast
! 配置F0/3為阻塞端口
實(shí)驗(yàn)原理:交換機(jī)的端口阻塞是指在特定端口上����,阻止廣播�����、未知目的的MAC單播或未知目的的MAC組播幀從這個(gè)端口泛洪出去���,這樣不僅節(jié)省了帶寬資源,同時(shí)也避免了終端設(shè)備收到多余的數(shù)據(jù)幀�。
4、 配置系統(tǒng)保護(hù)
Switch(config)#int f0/1
Switch(config-if)#system-guard enable
Switch(config-if)#system-guard scan-dest-ip-attack-packets 100
! 配置針對目的IP地址變化的掃描的檢測閾值為每秒100個(gè)不同目的的IP的報(bào)文
Switch(config-if)#system-guard isolate-time 600
! 配置隔離時(shí)間為600s
實(shí)驗(yàn)原理:交換機(jī)系統(tǒng)保護(hù)特性是一種工作在物理端口的安全機(jī)制����,它通過監(jiān)視端口收到的報(bào)文的速率判斷是否存在掃描攻擊����,并對攻擊IP進(jìn)行阻斷,保護(hù)交換機(jī)系統(tǒng)資源��。系統(tǒng)保護(hù)可以識別兩種攻擊行為:目的IP地址變化的掃描和針對網(wǎng)絡(luò)中不存在的IP發(fā)送大量報(bào)文的攻擊����。
5、 配置風(fēng)暴控制
Switch(config)#int f0/1
Switch(config-if)#storm-control broadcast pps 100
! 設(shè)置報(bào)文速率閾值為每秒100個(gè)報(bào)文
注意事項(xiàng):
l 實(shí)際啟用風(fēng)暴控制的端口所允許通過的流量可能會與配置的閾值有細(xì)微的偏差��。
6���、 配置ARP檢查
Switch(config)#port-security arp-check
Switch(config)#int f0/1
Switch(config-if)#switchport port-secruity
Switchport port-secruity mac-address 0008.0df9.4c64 ip-address 172.16.1.64
!將攻擊者的MAC地址與其真實(shí)的IP地址綁定
注意事項(xiàng):
l WinArpSpoofer軟件僅可用于實(shí)驗(yàn)�����。
7��、 配置BPDU Guard
Switch(config)#int f0/1
Switch(config-if)#spanning-tree bpduguard enable
注意事項(xiàng):
l 當(dāng)端口進(jìn)入“err-disabled”狀態(tài)后��,端口將被關(guān)閉�,丟棄所有報(bào)文,需要使用errdisable recovery命令手工啟用端口���,或者使用errdisable recovery interval time命令設(shè)置超時(shí)間隔����,此時(shí)間間隔過后��,端口將自動被啟用��。
8����、 配置DHCP監(jiān)聽
SW1(config)#ip dhcp snooping
SW1(config)#int f0/1
SW1(config-if)#ip dhcp snooping trust
注意事項(xiàng):
l DHCP監(jiān)聽只能夠配置在物理端口上,不能配置在VLAN接口上。
9����、 配置保護(hù)端口
Switch(config)#int r f0/1-2
Switch(config-if-range)#switchport protected
! 配置端口F0/1和端口F0/2為保護(hù)端口
背景描述:某網(wǎng)絡(luò)中,有兩臺服務(wù)器屬于同一個(gè)VLAN中��,并且接入到了一臺交換機(jī)上���。為了安全起見��,需要防止這兩臺服務(wù)器之間進(jìn)行通信�����。
10、 配置PortFast
Switch(config)#int r f0/1-2
Switch(config-if-range)#spanning-tree portfast
注意事項(xiàng):
l 僅RSTP與MSTP支持PortFast特性
背景描述:
正常情況下���,交換機(jī)會向所有啟用的接口發(fā)送BPUD報(bào)文���,以便進(jìn)行生成樹的選舉與拓?fù)渚S護(hù)。但是如果交換機(jī)的某個(gè)端口連接的為終端設(shè)備���,如PC機(jī)����、打印機(jī)等,而這些設(shè)備無需參與STP計(jì)算��,所以無需接收BPDU報(bào)文���。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
