【イーサネットセキュリティ実験】---ポートセキュリティ/アンチMACアドレスドリフト/アンチ偽造DHCP攻撃/MACアドレステーブルセキュリティ

序文：

これらはイーサネットセキュリティの非常に一般的な技術であり、難しいことではありません。私は最近気分が悪く、説明はそれほど詳細ではありません。ごめんなさい！マインドマップはPDFに変換されてアップロードされており、無料でダウンロードできます。

1.ポートセキュリティ

構成要件：

1.各アクセスレイヤーデバイスは1台のPCにのみ接続できます
。2。ポートを閉じることにより、複数のPCに接続されているポートにペナルティを課します。

注：lsw3の画像は使用されないため、構成されていません。

構成のアイデア：
1。ポートセキュリティを有効にします
2.ポートセキュリティタイプ
を指定します3.ペナルティアクションを指定します

実験手順：
古いルールは、最初にレイヤ2インターフェイスを設定してから、要件を完了することです。

LSW2

sys lsw2
vlan b 10
int e 0/0/1
p l a
p d v 10
int e 0/0/3
p l t
p t a v 10

LSW1

sys lsw1
vlan b 10
int g 0/0/1
p l t
p t a v 10
int g 0/0/2
p l t
p t a v 10

第2層の構成が完了したら、PCゲートウェイを構成します（インターネットアクセスを確保するため）。

LSW1

interface Vlanif10
 ip address 192.168.1.254 255.255.255.0
#

---

通常どおりインターネットにアクセスして、要件を完了することができます。

LSW2

#
interface Ethernet0/0/1
 port link-type access
 port default vlan 10
 port-security enable
 #配置此接口最大连接数量（缺省也为1），注意这一个位置是先到先得
 port-security max-mac-num 1 
 #处罚模式为关闭端口
 port-security protect-action shutdown
 #端口安全模式为stick（自动将学习到的源mac地址进行静态绑定）
 port-security mac-address sticky

テスト結果：
最初に通常のホストを使用してインターネットにアクセスし、スイッチが通常の実行を実行し、学習した送信元MACアドレスを自動的に静的にバインドできることを確認しました。

次に、rubnetホストを使用してインターネットテストを実施し、インターネットがアクセスできず、ポートが強制的に閉じられました。

構成が完了し、テストが成功します。

---

2. MACアドレスのドリフトを防ぐ（シンプル）

構成要件：
MACアドレステーブルのドリフトを防止することでサーバーのセキュリティを保護する
構成手順：
Macアドレスのドリフトを防止する機能を有効にする

int vlan 10
//缺省情况已经存在可不用配置
mac-address flapping detection
//检测flapping
display mac-address flapping record

サーバーリンク学習の優先度が高くなります（優先度が高くなります）

interface GigabitEthernet0/0/1
 mac-learning priority 3
#

設定が完了しました。

---

3. DHCPスプーフィングサーバー攻撃実験を防ぐため（インターフェースモード）

実験要件：
1。インターフェイス構成に基づく
2.ネットワークセキュリティを確保するためのDHCPスヌーピング機能
インターフェイスビューの構成のアイデア：
1。DHCPスヌーピング機能をグローバルに有効にする
2.追加する必要のあるポートをターゲットに開く
3.正規のDHCPサーバーの信頼できるポートを構成する
vlanビューの構成のアイデア：
1。DHCPスヌーピング機能をグローバルに有効にします
2. vlanを入力してから、DHCPスヌーピング機能を有効にします
3. vlanで信頼できるポートを構成します注：
このvlanのすべてのホストで有効にする
実験手順：

比較的シンプルで直接的なコマンド

dhcp enable
dhcp snooping enable ipv4
int g 0/0/1
dhcp snooping enable 
int g 0/0/2
dhcp snooping enable 
int g 0/0/3
dhcp snooping enable 
//配置信任接口
dhcp snooping trusted 

---

第四に、MACアドレステーブルのセキュリティ

構成要件：

パーティAには安全なインターネットアクセス環境が必要です。ここで静的MACアドレスを入力し、重要なサーバーとゲートウェイに静的バインディングを作成してください。

実験手順：第
2層の基本構成は省略されていますが、これは単純すぎます

配置命令
针对于服务器：
全局状态下：
mac-address static 5489-9851-03C1 g 0/0/2 vlan  10
查看dis mac-address

実験結果：
構成後のテストスクリーンショット：
マスカレード後に他のデバイスと通信できず、g0/0/1ポートによってブロックされています

考えられる質問：
自分でMACアドレスを偽造することはできますか？不正行為はできますか？たとえば
、サーバーと同じスイッチに接続されているデバイスのMACアドレスを変更した場合、変更する前に他のデバイスにpingを送信できますか？変更した後、pingを実行できますか？バッグはどこに消えましたか？

回答：変更前に他のデバイスにpingを実行できますが、サーバーのMACがg0 / 0/2にバインドされており、スイッチSWDがソースを受信するため、pc3macアドレスを追加してサーバーアドレスに変更した後に他のデバイスにpingを実行することはできません。 g0/0/2を除く。macがサーバーのmacアドレスであるポートは直接破棄されます。