記事ディレクトリ
序文:
これらはイーサネットセキュリティの非常に一般的な技術であり、難しいことではありません。私は最近気分が悪く、説明はそれほど詳細ではありません。ごめんなさい!マインドマップはPDFに変換されてアップロードされており、無料でダウンロードできます。
1.ポートセキュリティ
構成要件:
1.各アクセスレイヤーデバイスは1台のPCにのみ接続できます
。2。ポートを閉じることにより、複数のPCに接続されているポートにペナルティを課します。
注:lsw3の画像は使用されないため、構成されていません。
構成のアイデア:
1。ポートセキュリティを有効にします
2.ポートセキュリティタイプ
を指定します3.ペナルティアクションを指定します
実験手順:
古いルールは、最初にレイヤ2インターフェイスを設定してから、要件を完了することです。
LSW2
sys lsw2
vlan b 10
int e 0/0/1
p l a
p d v 10
int e 0/0/3
p l t
p t a v 10
LSW1
sys lsw1
vlan b 10
int g 0/0/1
p l t
p t a v 10
int g 0/0/2
p l t
p t a v 10
第2層の構成が完了したら、PCゲートウェイを構成します(インターネットアクセスを確保するため)。
LSW1
interface Vlanif10
ip address 192.168.1.254 255.255.255.0
#
通常どおりインターネットにアクセスして、要件を完了することができます。
LSW2
#
interface Ethernet0/0/1
port link-type access
port default vlan 10
port-security enable
#配置此接口最大连接数量(缺省也为1),注意这一个位置是先到先得
port-security max-mac-num 1
#处罚模式为关闭端口
port-security protect-action shutdown
#端口安全模式为stick(自动将学习到的源mac地址进行静态绑定)
port-security mac-address sticky
テスト結果:
最初に通常のホストを使用してインターネットにアクセスし、スイッチが通常の実行を実行し、学習した送信元MACアドレスを自動的に静的にバインドできることを確認しました。
次に、rubnetホストを使用してインターネットテストを実施し、インターネットがアクセスできず、ポートが強制的に閉じられました。
構成が完了し、テストが成功します。
2. MACアドレスのドリフトを防ぐ(シンプル)
構成要件:
MACアドレステーブルのドリフトを防止することでサーバーのセキュリティを保護する
構成手順:
Macアドレスのドリフトを防止する機能を有効にする
int vlan 10
//缺省情况已经存在可不用配置
mac-address flapping detection
//检测flapping
display mac-address flapping record
サーバーリンク学習の優先度が高くなります(優先度が高くなります)
interface GigabitEthernet0/0/1
mac-learning priority 3
#
設定が完了しました。
3. DHCPスプーフィングサーバー攻撃実験を防ぐため(インターフェースモード)
実験要件:
1。インターフェイス構成に基づく
2.ネットワークセキュリティを確保するためのDHCPスヌーピング機能
インターフェイスビューの構成のアイデア:
1。DHCPスヌーピング機能をグローバルに有効にする
2.追加する必要のあるポートをターゲットに開く
3.正規のDHCPサーバーの信頼できるポートを構成する
vlanビューの構成のアイデア:
1。DHCPスヌーピング機能をグローバルに有効にします
2. vlanを入力してから、DHCPスヌーピング機能を有効にします
3. vlanで信頼できるポートを構成します注:
このvlanのすべてのホストで有効にする
実験手順:
比較的シンプルで直接的なコマンド
dhcp enable
dhcp snooping enable ipv4
int g 0/0/1
dhcp snooping enable
int g 0/0/2
dhcp snooping enable
int g 0/0/3
dhcp snooping enable
//配置信任接口
dhcp snooping trusted
第四に、MACアドレステーブルのセキュリティ
構成要件:
パーティAには安全なインターネットアクセス環境が必要です。ここで静的MACアドレスを入力し、重要なサーバーとゲートウェイに静的バインディングを作成してください。
実験手順:第
2層の基本構成は省略されていますが、これは単純すぎます
配置命令
针对于服务器:
全局状态下:
mac-address static 5489-9851-03C1 g 0/0/2 vlan 10
查看dis mac-address
実験結果:
構成後のテストスクリーンショット:
マスカレード後に他のデバイスと通信できず、g0/0/1ポートによってブロックされています
考えられる質問:
自分でMACアドレスを偽造することはできますか?不正行為はできますか?たとえば
、サーバーと同じスイッチに接続されているデバイスのMACアドレスを変更した場合、変更する前に他のデバイスにpingを送信できますか?変更した後、pingを実行できますか?バッグはどこに消えましたか?
回答:変更前に他のデバイスにpingを実行できますが、サーバーのMACがg0 / 0/2にバインドされており、スイッチSWDがソースを受信するため、pc3macアドレスを追加してサーバーアドレスに変更した後に他のデバイスにpingを実行することはできません。 g0/0/2を除く。macがサーバーのmacアドレスであるポートは直接破棄されます。