|
1����、 配置端口安全
Switch(config)#int f0/1
Switch(config-if)#switchport port-security
Switchport port-security mac-address 0001.0001.0001
Switchport port-security maximum 1
Switchport port-secruity violation shutdown
注意事項:
l 配置安全端口之前必須使用命令switchport mode access將端口設置為access端口�����。
l 當端口由于違規(guī)被關閉時����,可以在全局模式下用errdisable recovery 命令將其恢復到UP狀態(tài)。
l 在實驗中安全MAC地址清配置為測試主機PC1的真實MAC地址��。
2����、 配置動態(tài)ARP檢測
SW2(config)#ip arp inspection
SW2(config)#ip arp inspection vlan 2
! 在VLAN2上啟用DAI
SW2(config)#int f0/24
SW2(config-if)#ip arp inspection trust
! 配置F0/24端口為監(jiān)控信任端口
注意事項:
l DHCP監(jiān)聽只能夠配置在物理端口上�����,不能配置在VLAN接口上��。
l DAI只能夠配置在物理端口上,不能配置在VLAN接口上��。
l 如果端口所屬的VLAN啟用了DAI�����,并且為Untrust端口����,當端口收到ARP報文后,若查找不到DHCP監(jiān)聽表項��,則丟棄ARP報文�����,造成網(wǎng)絡中斷�。
l WinArpSpoofer軟件僅可用于實驗。
3���、 配置端口阻塞
Switch(config)#int f0/3
Switch(config-if)#switchport block unicast
! 配置F0/3為阻塞端口
實驗原理:交換機的端口阻塞是指在特定端口上�,阻止廣播��、未知目的的MAC單播或未知目的的MAC組播幀從這個端口泛洪出去���,這樣不僅節(jié)省了帶寬資源��,同時也避免了終端設備收到多余的數(shù)據(jù)幀��。
4��、 配置系統(tǒng)保護
Switch(config)#int f0/1
Switch(config-if)#system-guard enable
Switch(config-if)#system-guard scan-dest-ip-attack-packets 100
! 配置針對目的IP地址變化的掃描的檢測閾值為每秒100個不同目的的IP的報文
Switch(config-if)#system-guard isolate-time 600
! 配置隔離時間為600s
實驗原理:交換機系統(tǒng)保護特性是一種工作在物理端口的安全機制����,它通過監(jiān)視端口收到的報文的速率判斷是否存在掃描攻擊,并對攻擊IP進行阻斷��,保護交換機系統(tǒng)資源���。系統(tǒng)保護可以識別兩種攻擊行為:目的IP地址變化的掃描和針對網(wǎng)絡中不存在的IP發(fā)送大量報文的攻擊��。
5�、 配置風暴控制
Switch(config)#int f0/1
Switch(config-if)#storm-control broadcast pps 100
! 設置報文速率閾值為每秒100個報文
注意事項:
l 實際啟用風暴控制的端口所允許通過的流量可能會與配置的閾值有細微的偏差�。
6、 配置ARP檢查
Switch(config)#port-security arp-check
Switch(config)#int f0/1
Switch(config-if)#switchport port-secruity
Switchport port-secruity mac-address 0008.0df9.4c64 ip-address 172.16.1.64
!將攻擊者的MAC地址與其真實的IP地址綁定
注意事項:
l WinArpSpoofer軟件僅可用于實驗��。
7��、 配置BPDU Guard
Switch(config)#int f0/1
Switch(config-if)#spanning-tree bpduguard enable
注意事項:
l 當端口進入“err-disabled”狀態(tài)后��,端口將被關閉�,丟棄所有報文,需要使用errdisable recovery命令手工啟用端口���,或者使用errdisable recovery interval time命令設置超時間隔�����,此時間間隔過后���,端口將自動被啟用。
8����、 配置DHCP監(jiān)聽
SW1(config)#ip dhcp snooping
SW1(config)#int f0/1
SW1(config-if)#ip dhcp snooping trust
注意事項:
l DHCP監(jiān)聽只能夠配置在物理端口上,不能配置在VLAN接口上��。
9�、 配置保護端口
Switch(config)#int r f0/1-2
Switch(config-if-range)#switchport protected
! 配置端口F0/1和端口F0/2為保護端口
背景描述:某網(wǎng)絡中,有兩臺服務器屬于同一個VLAN中����,并且接入到了一臺交換機上。為了安全起見����,需要防止這兩臺服務器之間進行通信����。
10�����、 配置PortFast
Switch(config)#int r f0/1-2
Switch(config-if-range)#spanning-tree portfast
注意事項:
l 僅RSTP與MSTP支持PortFast特性
背景描述:
正常情況下�����,交換機會向所有啟用的接口發(fā)送BPUD報文�����,以便進行生成樹的選舉與拓撲維護�。但是如果交換機的某個端口連接的為終端設備,如PC機�����、打印機等�,而這些設備無需參與STP計算,所以無需接收BPDU報文��。
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強���!虛擬主機域名注冊頂級提供商�����!15年品質保障����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
