CCNP交换安全试验Word文档下载推荐.docx
- 文档编号:21082037
- 上传时间:2023-01-27
- 格式:DOCX
- 页数:15
- 大小:2.15MB
CCNP交换安全试验Word文档下载推荐.docx
《CCNP交换安全试验Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《CCNP交换安全试验Word文档下载推荐.docx(15页珍藏版)》请在冰豆网上搜索。
防止交换机mac地址表溢出
sw1(config-if)#switchportport-security(启动端口安全功能)
sw1(config-if)#switchportport-securitymaximum1(限制mac地址学习数量,默认就是1)
sw1(config-if)#switchportport-security
sw1(config-if)#switchportport-securitymaximum1
sw1(config-if)#switchportport-securitymaximum1
sw1#showport-security
SecurePortMaxSecureAddrCurrentAddrSecurityViolationSecurityAction
(Count)(Count)(Count)
---------------------------------------------------------------------------
Fa0/1110Shutdown
Fa0/2110Shutdown
Fa0/10100Shutdown
TotalAddressesinSystem(excludingonemacperport):
0
MaxAddresseslimitinSystem(excludingonemacperport):
5120
如果交换机发现mac地址溢出攻击,会采取惩罚手段。
sw1(config-if)#switchportport-securityviolation?
protectSecurityviolationprotectmode(丢掉非法数据包)
restrictSecurityviolationrestrictmode(丢掉非法数据包,发送SNMP报警)
shutdownSecurityviolationshutdownmode(把端口置为err-disable状态,默认是shutdown,需要重启端口才能恢复)
第四步:
防止外来主机接入。
手动把主机mac地址绑定到端口上,如果发现非法主机接入,会采取惩罚手段。
sw1#shmac-address-tabledynamic
MacAddressTable
-------------------------------------------
VlanMacAddressTypePorts
----------------------------
10014.6a39.e018DYNAMICFa0/24
10019.d193.17bdDYNAMICFa0/24
10019.d193.2677DYNAMICFa0/2
10019.d193.4c57DYNAMICFa0/24
10019.d193.ce40DYNAMICFa0/1
TotalMacAddressesforthiscriterion:
5
sw1#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
sw1(config-if)#switchportport-securitymac-address0019.d193.ce40
Foundduplicatemac-address0019.d193.ce40.
sw1(config-if)#shut
sw1(config-if)#
sw1(config-if)#noshut
简单快捷的操作方式,利用mac地址的黏贴概念。
sw1(config-if)#intf0/2
sw1(config-if)#switchportport-securitymac-addresssticky
sw1(config-if)#doshrunintf0/2
Buildingconfiguration...
Currentconfiguration:
212bytes
!
interfaceFastEthernet0/2
switchportmodeaccess
switchportnonegotiate
switchportport-security
switchportport-securitymac-addresssticky
switchportport-securitymac-addresssticky0019.d193.2677
第五步:
基于用户名认证防止外来PC.
802.1x,认证。
5.1首先ACS的地址是10.1.1.252,在交换机上添加svi接口vlan1.
sw1(config)#intvlan1
sw1(config-if)#ipadd10.1.1.254255.255.255.0
sw1(config)#intvlan10
sw1(config-if)#ipadd10.1.10.254
sw1(config-if)#ipadd10.1.10.254255.255.255.0
sw1(config-if)#end
sw1#ping10
01:
12:
36:
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
sw1#ping10.1.1.1
37:
%LINK-3-UPDOWN:
InterfaceVlan1,changedstatetoup
38:
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceVlan1,changedstatetoup
sw1#ping10.1.1.252
Typeescapesequencetoabort.
Sending5,100-byteICMPEchosto10.1.1.252,timeoutis2seconds:
.!
Successrateis80percent(4/5),round-tripmin/avg/max=1/1/4ms
sw1#
5.2在交换机上启动802.1x和AAA功能。
sw1(config)#aaanew-model(启动AAA)
sw1(config)#dot1xsystem-auth-control(启动802.1x协议)
sw1(config)#aaaauthenticationdot1xdefaultgroupradius(打开AAA认证功能,并且制定对dot1x的协议进行认证,通过Radius服务器)
sw1(config)#radius-serverhost10.1.1.252keycisco(指定radius服务器的地址和认证口令)
5.3配置ACS
选择submit+apply
添加认证帐号
添加口令
打开pc的802.1x功能
交换机上激活dot1x认证功能
sw1(config)#intrangef0/1-2
sw1(config-if)#dot1xport-controlauto
sw1(config-if)#spanning-treeportfast
测试
sw1#shintf0/2
FastEthernet0/2isup,lineprotocolisdown(notconnect)
HardwareisFastEthernet,addressis0013.1abc.d482(bia0013.1abc.d482)
MTU1500bytes,BW100000Kbit,DLY100usec,
reliability255/255,txload1/255,rxload1/255
EncapsulationARPA,loopbacknotset
Keepaliveset(10sec)
输入帐号之后,端口激活。
45:
20:
LineprotocolonInterfaceFastEthernet0/2,changedstatetoup
sw1#shintf0/2
FastEthernet0/2isup,lineprotocolisup(connected)
实现动态vlan划分,就是vlan授权。
交换机上要打开授权功能。
sw1(config)#aaaauthorizationnetworkdefaultgroupradius
sw1#cleardot1xinterfacef0/2(清空认证缓存)
端口被动态划分到vlan10
sw1#shvlanbri
VLANNameStatusPorts
----------------------------------------------------------------------------
1defaultactiveFa0/1,Fa0/3,Fa0/4,Fa0/5
Fa0/6,Fa0/7,Fa0/8,Fa0/9
Fa0/10,Fa0/11,Fa0/12,Fa0/13
Fa0/14,Fa0/15,Fa0/16,Fa0/17
Fa0/18,Fa0/19,Fa0/20,Fa0/21
Fa0/22,Fa0/23,Gi0/1,Gi0/2
2VLAN0002active
3VLAN0003active
4VLAN0004active
5VLAN0005active
6VLAN0006active
7VLAN0007active
8VLAN0008active
9VLAN0009active
10VLAN0010activeFa0/2
第六步:
防止DHCP欺骗
首先把pc都设置为自动获得IP方式
sw1(config)#ipdhcpsnooping
sw1(config)#ipdhcpsnoopingvlan10
如果有外置DHCP服务器,可以在相连端口添加sw1(config-if)#ipdhcpsnoopingtrust
配置DHCP服务器
sw1(config)#ipdhcppoolvlan10
sw1(dhcp-config)#network10.1.10.0255.255.255.0
sw1(dhcp-config)#default-router10.1.10.254
sw1(dhcp-config)#dns4.2.2.2
sw1(dhcp-config)#domain
sw1(dhcp-config)#exi
sw1(config)#ipdhcpexcluded-address10.1.10.20010.1.10.254
pc获得IP地址
查看DHCP
sw1#showipdhcpsnoopingbinding
MacAddressIpAddressLease(sec)TypeVLANInterface
--------------------------------------------------------------------------------
00:
19:
D1:
93:
26:
7710.1.10.186323dhcp-snooping10FastEthernet0/2
CE:
4010.1.10.286306dhcp-snooping10FastEthernet0/1
Totalnumberofbindings:
2
代开动态ARP检测,防止arp欺骗;
如果不想检测某端口,比如路由器和服务器端口添加命令sw1(config-if)#iparpinspectiontrust
sw1(config)#iparpinspectionvlan10
交换机发现f0/2端口下有基于10.1.10.254欺骗更新,会丢弃并且报错
02:
16:
42:
%SW_DAI-4-DHCP_SNOOPING_DENY:
2InvalidARPs(Req)onFa0/2,vlan10.([0019.d193.2677/10.1.10.254/0000.0000.0000/10.1.10.254/02:
42UTCMonMar11993])
43:
1InvalidARPs(Req)onFa0/2,vlan10.([0019.d193.2677/10.1.10.254/0000.0000.0000/10.1.10.254/02:
43UTCMonMar11993])
打开ip源防护技术,防止源ip地址欺骗攻击。
sw1(config-if-range)#ipverifysourceport-security
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CCNP 交换 安全 试验