CISCO3550交換機(jī)端口安全一點(diǎn)通-基礎(chǔ)電子_第1頁
CISCO3550交換機(jī)端口安全一點(diǎn)通-基礎(chǔ)電子_第2頁
CISCO3550交換機(jī)端口安全一點(diǎn)通-基礎(chǔ)電子_第3頁
CISCO3550交換機(jī)端口安全一點(diǎn)通-基礎(chǔ)電子_第4頁
CISCO3550交換機(jī)端口安全一點(diǎn)通-基礎(chǔ)電子_第5頁
已閱讀5頁,還剩2頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

精品文檔-下載后可編輯CISCO3550交換機(jī)端口安全一點(diǎn)通-基礎(chǔ)電子對于很多的企業(yè)網(wǎng)絡(luò)管理人員來說,交換機(jī)自然是常打交道的設(shè)備。那么,你對交換機(jī)到底了解多少呢?下面我們就通過一個實(shí)例,先來探討一下對于交換機(jī)端口配置和接入安全性保障的實(shí)戰(zhàn)演練!

場景:某單位中有一臺CISCO3550交換機(jī),出于網(wǎng)絡(luò)安全的考慮,對某些端口的安全性要求較高,即只能接入指定的主機(jī),比如設(shè)置一間辦公室只有某臺筆記本電腦可以接入網(wǎng)絡(luò),當(dāng)他帶著筆記本出去后,即使空出了網(wǎng)絡(luò)接口,其它的電腦也無法使用這根網(wǎng)線。下面我們就看網(wǎng)絡(luò)管理人員是如何逐步實(shí)現(xiàn)這一需求的。

一、判斷交換機(jī)端口通斷狀態(tài)的方法

作為網(wǎng)絡(luò)管理員,在應(yīng)用新的功能前,肯定要先經(jīng)過測試,即為了保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行,只能在空閑的端口上面測試新功能。如何找到空閑的端口,到交換機(jī)的前面直接去查看是一種方法,當(dāng)然作為一名資深的網(wǎng)管人員來說,一般是不會這么做的,我們是通過在交換機(jī)上執(zhí)行相應(yīng)的指令來找到自己所需的答案的。以前我是用showinter命令來看,但是這條命令顯示的信息太多了,看起來不方便,現(xiàn)在我是用showinterstatus命令來看,這條命令可以逐條顯示出每個端口的通斷狀態(tài)(用“connected”和“notconnect”來表示),本例中我就通過這條命令找到了一個空閑的端口3來進(jìn)行隨后的測試。

3550#showinterstatus

PortNameStatusVlanDuplexSpeedType

Fa0/3huangtunnotconnect66autoauto10/100BaseTX

二、端口安全的基本操作

(一)顯示端口3口上面的MAC地址

3550#showmac-address-tableintfa0/3

MacAddressTable

VlanMacAddressTypePorts

(由于端口上面現(xiàn)在沒接任何網(wǎng)線,所以顯示該端口上面沒有任何MAC地址)

(二)清除動態(tài)獲到的MAC地址

3550#clearmac-address-tabledynamicinterfa0/3

以上兩步操作的目的是確認(rèn)當(dāng)前端口上面沒有MAC地址的記錄,以便證明我們以后進(jìn)行的操作是有效的。

(三)關(guān)閉端口、將其配置為接入端口并執(zhí)行配置端口安全的命令

端口安全的實(shí)現(xiàn)是通過switchportport-security命令來實(shí)現(xiàn)的,這是一條的指令,輔以與之相關(guān)的其它命令,我們就可以實(shí)現(xiàn)端口安全的設(shè)置。由于大多采用的默認(rèn)設(shè)置,所以本例實(shí)現(xiàn)的功能是端口3上面只允許一個指定的MAC地址通過,并在出現(xiàn)安全違規(guī)時關(guān)閉端口,先對相關(guān)的設(shè)置命令做一下解釋:

switchportport-security命令在端口上啟用端口安全,默認(rèn)設(shè)置情況下只允許一個MAC地址通過,并在出現(xiàn)安全違規(guī)時關(guān)閉接口。)

switchportport-securitymac-addsticky命令讓交換機(jī)獲悉當(dāng)前與端口相關(guān)聯(lián)的MAC地址,該地址將包含在運(yùn)行配置中。如果將運(yùn)行配置保存到啟動配置中,則路由器重啟后,該地址也將保留下來。

介紹完命令的操作,我們再介紹一下端口安全操作的思路:首先關(guān)閉端口3。使用命令switchportmodeaccess將端口配置為接入端口,以便配置端口安全。使用命令switchportport-securtiy啟用端口安全,然后使用命令swithchportport-securitymac-addresssticky讓端口獲悉其連接機(jī)的主機(jī)的IP地址。,執(zhí)行命令noshutdown重新啟用端口,使其能夠獲悉主機(jī)的MAC地址,實(shí)現(xiàn)以上操作的命令如下。

3550#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

3550(config)#interfa0/3

3550(config-if)#shutdown

3550(config-if)#switchportmodeaccess

3550(config-if)#switchportport-security

3550(config-if)#switchportport-securitymac-addresssticky(設(shè)置MAC地址的粘性,我對這條命令的理解是交換機(jī)會自動的學(xué)習(xí)到次接到到該端口的網(wǎng)絡(luò)設(shè)備的MAC地址,并把它記錄到當(dāng)前的配置文件中)

3550(config-if)#end

(四)查看配置信息的操作

1、查看當(dāng)前配置文件中有關(guān)FA0/3端口的信息

3550#showruninterfa0/3

Buildingconfiguration…

Currentconfiguration:281bytes

!

interfaceFastEthernet0/3

switchportaccessvlan66

switchportmodeaccess

switchportport-security

switchportport-securitymac-addresssticky

end

2、查看有關(guān)FA0/3端口安全方面的信息

PortSecurity:Enabled

PortStatus:Secure-down

ViolationMode:Shutdown

AgingTime:0mins

AgingType:Absolute

SecureStaticAddressAging:Disabled

MaximumMACAddresses:1

TotalMACAddresses:0

ConfiguredMACAddresses:0

StickyMACAddresses:0

LastSourceAddress:0000.0000.0000

SecurityViolationCount:0

(五)實(shí)際測試

我們拿一臺筆記本電腦,接入FA0/3端口,這臺筆記本網(wǎng)卡的狀態(tài)顯示為連通,由于VLAN66網(wǎng)段內(nèi)有DHCP服務(wù)器,也可以順利的獲取IP地址,訪問網(wǎng)絡(luò)。然后再將連接這臺筆記本電腦的網(wǎng)線接到另外一臺微機(jī)上,該微機(jī)的網(wǎng)卡狀態(tài)顯示為斷開,說明端口安全已經(jīng)生效。

(六)存在的問題

本來以為端口安全的操作到此已經(jīng)完成了,但是將這根網(wǎng)線再插回到剛才的那臺筆記本電腦上時,卻發(fā)現(xiàn)網(wǎng)絡(luò)仍然處于斷開狀態(tài),查看端口的狀態(tài),處于“errordisable”,雖然我們可以通過在FA0/3端口執(zhí)行shutdown和noshutdown命令將這個端口恢復(fù)正常,但是這個操作太麻煩了,而且也不現(xiàn)實(shí),總不能每次用戶每次發(fā)現(xiàn)端口關(guān)閉了以后,都去找網(wǎng)管員執(zhí)行shutdown、noshutdonw命令。

三、對端口安全設(shè)置的深入研究

在已經(jīng)實(shí)現(xiàn)端口安全的基礎(chǔ)上(雖然效果跟我們的要求還有一定差距),我們繼續(xù)對相關(guān)的功能進(jìn)行研究,在查看端口安全狀態(tài)的“Violation(違背)Mode”時,發(fā)現(xiàn)默認(rèn)的處理是shutdown,那么還有沒有其它的選項(xiàng)呢?通過“?”(幫助),我們還真找到其它的兩個選項(xiàng),分別為

3550(config-if)#switchportport-securityviolation?

protectSecurityviolationprotectmode

restrictSecurityviolationrestrictmode

shutdownSecurityviolationshutdownmode

通過查看相關(guān)的資料,我們了解到protect參數(shù)的含義是當(dāng)發(fā)生違背安全的情況時,是將數(shù)據(jù)包丟棄,這正好我們的設(shè)想,即不是將發(fā)生違規(guī)的端口關(guān)閉,而是將違規(guī)的數(shù)據(jù)包丟棄,這才是我們所要的結(jié)果,具體的設(shè)置命令如下:

3550#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

3550(config)#interfa0/3

3550(config-if)#shut

3550(config-if)#end

3550#showport-securityinterfa0/3

PortSecurity:Enabled

PortStatus:Secure-down

ViolationMode:Protect

AgingTime:0mins

AgingType:Absolute

SecureStaticAddressAging:Disabled

MaximumMACAddresses:1

TotalMACAddresses:1

ConfiguredMACAddresses:0

S

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論