Directorio de artículos
Prefacio:
Estas son algunas tecnologías muy comunes para la seguridad de Ethernet, y no son difíciles. Últimamente he estado de mal humor y las explicaciones no son tan detalladas. ¡Lo siento! El mapa mental se convirtió a PDF y se cargó, y se puede descargar de forma gratuita.
1. Seguridad portuaria
Requisitos de configuración:
1. Cada dispositivo de la capa de acceso solo se puede conectar a una PC
2. Penalice los puertos que están conectados a varias PC cerrando el puerto
Nota: la imagen de lsw3 no se usa, por lo que no está configurada.
Ideas de configuración:
1. Habilite la seguridad del puerto
2. Especifique el tipo de seguridad del puerto
3. Especifique la acción de penalización
Pasos experimentales: la
regla anterior es configurar primero la interfaz de capa 2 y luego completar los requisitos
LSW2
sys lsw2
vlan b 10
int e 0/0/1
p l a
p d v 10
int e 0/0/3
p l t
p t a v 10
LSW1
sys lsw1
vlan b 10
int g 0/0/1
p l t
p t a v 10
int g 0/0/2
p l t
p t a v 10
Una vez completada la configuración de la segunda capa, configuramos la puerta de enlace de la PC (para garantizar el acceso a Internet)
LSW1
interface Vlanif10
ip address 192.168.1.254 255.255.255.0
#
Puede acceder a Internet normalmente y luego completar los requisitos.
LSW2
#
interface Ethernet0/0/1
port link-type access
port default vlan 10
port-security enable
#配置此接口最大连接数量(缺省也为1),注意这一个位置是先到先得
port-security max-mac-num 1
#处罚模式为关闭端口
port-security protect-action shutdown
#端口安全模式为stick(自动将学习到的源mac地址进行静态绑定)
port-security mac-address sticky
Resultados de la prueba:
primero usamos un host normal para acceder a Internet y descubrimos que el conmutador puede realizar una ejecución normal y vincular estáticamente de forma automática la dirección MAC de origen aprendida.
Luego, usamos el host rubnet para realizar la prueba de Internet y descubrimos que Internet no se pudo acceder, y el puerto fue cerrado a la fuerza.
La configuración está completa y la prueba es exitosa.
2. Prevenir la desviación de la dirección MAC (simple)
Requisitos de configuración:
Proteja la seguridad del servidor al evitar la deriva de la tabla de direcciones mac
Pasos de configuración:
Habilite la función de prevención de la deriva de la dirección mac
int vlan 10
//缺省情况已经存在可不用配置
mac-address flapping detection
//检测flapping
display mac-address flapping record
La prioridad de aprendizaje del enlace del servidor aumenta (cuanto mayor sea la prioridad)
interface GigabitEthernet0/0/1
mac-learning priority 3
#
¡La configuración está completa!
3. Para evitar el experimento de ataque del servidor de suplantación de DHCP (modo de interfaz)
Requisitos del experimento:
1. Basado en la configuración de la interfaz
2. Función DHCP Snooping para garantizar la seguridad de la red
Ideas de configuración de vista de interfaz:
1. Habilitar globalmente la función DHCP Snooping
2. Apertura específica de puertos que deben agregarse
3. Configurar puertos confiables de servidores DHCP legítimos
Ideas de configuración de la vista vlan:
1. Habilite la función DHCP Snooping globalmente
2. Ingrese vlan y luego habilite la función DHCP Snooping
3. Configure el puerto confiable en vlan Nota: Los pasos experimentales
tendrán efecto en todos los hosts en esta vlan :
Comando relativamente simple y directo
dhcp enable
dhcp snooping enable ipv4
int g 0/0/1
dhcp snooping enable
int g 0/0/2
dhcp snooping enable
int g 0/0/3
dhcp snooping enable
//配置信任接口
dhcp snooping trusted
Cuarto, seguridad de la tabla de direcciones mac
Requisitos de configuración:
La parte A necesita un entorno de acceso seguro a Internet. Ingrese la dirección MAC estática aquí y realice enlaces estáticos a servidores y puertas de enlace importantes.
Pasos experimentales:
se omite la configuración básica de la segunda capa, que es demasiado simple
配置命令
针对于服务器:
全局状态下:
mac-address static 5489-9851-03C1 g 0/0/2 vlan 10
查看dis mac-address
Resultado experimental:
captura de pantalla de prueba después de la configuración:
no se puede comunicar con otros dispositivos después del enmascaramiento, bloqueado por el puerto g0/0/1
Pregunta de reflexión:
puede intentar falsificar una dirección MAC usted mismo. ¿Puede hacer trampa ? Por
ejemplo, si cambia la dirección MAC del dispositivo conectado al mismo conmutador que el servidor, ¿puede hacer ping a otros dispositivos antes de cambiarla? ¿Puedes hacer ping después de cambiarlo? ¿Dónde desapareció la bolsa?
Respuesta: Puede hacer ping a otros dispositivos antes del cambio, pero no puede hacer ping a otros dispositivos después de agregar la dirección pc3mac y cambiarla a la dirección del servidor, porque el servidor mac está vinculado a g0/0/2, y el switch SWD recibe la fuente excepto g0/0/2 El puerto cuyo mac es la dirección mac del servidor será descartado directamente.