VLAN ACL Port Security Logging Password VLAN VLAN

  • Slides: 28
Download presentation

拼搏 设备安全 交换机的安全: ØVLAN ØACL ØPort Security ØLogging ØPassword

拼搏 设备安全 交换机的安全: ØVLAN ØACL ØPort Security ØLogging ØPassword

拼搏 设备安全 四. VLAN部署原则: Ø按照行政机构部署VLAN Ø VLAN与IP子网一一对应 Account 172. 16. 10. 0/24 vlan 10

拼搏 设备安全 四. VLAN部署原则: Ø按照行政机构部署VLAN Ø VLAN与IP子网一一对应 Account 172. 16. 10. 0/24 vlan 10 marker Account 172. 16. 20. 0/24 172. 16. 10. 0/24 vlan 20 vlan 10 Account 172. 16. 40. 0/24 vlan 40 marker 172. 16. 50. 0/24 vlan 50 HR 172. 16. 30. 0/24 vlan 30

拼搏 设备安全 六, VLAN配置: 1, 单交换机VLAN: 步骤: 1)配置VTP模式为:server sw(vlan)#vtp server VTP校验命令: #show vtp status

拼搏 设备安全 六, VLAN配置: 1, 单交换机VLAN: 步骤: 1)配置VTP模式为:server sw(vlan)#vtp server VTP校验命令: #show vtp status 2)建立VLAN: sw(vlan)#vlan 号 name 名 sw(vlan)#apply //写入VLAN数据库 sw(vlan)#abort //不写入VLAN数据库 sw(vlan)#exit VLAN校验命令: #show vlan 3)向VLAN中添加成员 (config-if)#switchport mode access //把端口改为访问端口 (config-if)#switchport access vlan 号 //把端口添加到VLAN 2 VLAN 3 VLAN 2

拼搏 设备安全 跨交换机的VLAN配置: 1)VLAN服务器的配置: 1>配置VTP域: (vlan)#vtp domain 域名 2>配置VTP模式为server (vlan)#vtp server 校验VTP配置: #show vtp

拼搏 设备安全 跨交换机的VLAN配置: 1)VLAN服务器的配置: 1>配置VTP域: (vlan)#vtp domain 域名 2>配置VTP模式为server (vlan)#vtp server 校验VTP配置: #show vtp status 3>建立VLAN: sw(vlan)#vlan 号 name 名 sw(vlan)#apply //写入VLAN数据库 sw(vlan)#abort //不写入VLAN数据库 sw(vlan)#exit VLAN校验命令: #show vlan

拼搏 设备安全 4>向VLAN中添加成员 (config-if)#switchport mode access //把端口改为访问端口 (config-if)#switchport access vlan 号 //把端口添加到VLAN 5>配置trunk(干线) (config-if)#switchport

拼搏 设备安全 4>向VLAN中添加成员 (config-if)#switchport mode access //把端口改为访问端口 (config-if)#switchport access vlan 号 //把端口添加到VLAN 5>配置trunk(干线) (config-if)#switchport mode trunk (config-if)##switchport trunk encap isl/dot 1 q //Catalyst 2950, 2960不需要该命令 2)VLAN客户端的配置: 1>配置VTP域: (vlan)#vtp domain 域名 2>配置VTP模式为client (vlan)#vtp client

拼搏 设备安全 3>配置trunk(干线) (config-if)#switchport mode trunk (config-if)##switchport trunk encap isl/dot 1 q //Catalyst 2950,

拼搏 设备安全 3>配置trunk(干线) (config-if)#switchport mode trunk (config-if)##switchport trunk encap isl/dot 1 q //Catalyst 2950, 2960不需要该命令 4>向VLAN中添加成员 (config-if)#switchport mode access //把端口改为访问端口 (config-if)#switchport access vlan 号 //把端口添加到VLAN

拼搏 设备安全 2, 通过三层交换机实现VLAN间通信: 配置步骤: 1. 启用路由功能 (config)#ip routing 2. 给VLAN配置IP, 掩码 (config)#interface vlan

拼搏 设备安全 2, 通过三层交换机实现VLAN间通信: 配置步骤: 1. 启用路由功能 (config)#ip routing 2. 给VLAN配置IP, 掩码 (config)#interface vlan 号 (config-if)#ip address IP地址 掩码(该IP为VLAN内设备的网关) (config-if)#no shutdown

拼搏 设备安全 192. 168. 20. 1 MAC: 3333 192. 168. 10. 1 MAC: 1111

拼搏 设备安全 192. 168. 20. 1 MAC: 3333 192. 168. 10. 1 MAC: 1111 第一个数据包 Fa 0/1 Fa 0/2 以后的数据包 Arp缓存 路由表 下一跳 192. 168. 20. 2 目的 192. 168. 20. 0 MAC地址 下一跳 192. 168. 20. 2 4444 重写源MAC 重写目的MAC | | 目的IP 源IP | 3333 4444 192. 168. 10. 2 192. 168. 20. 2 目的MAC 源MAC | 目的IP 源IP | | 2222 1111 192. 168. 10. 2 192. 168. 20. 2 192. 168. 10. 2 MAC: 2222 默认网关: 192. 168. 10. 1 192. 168. 20. 2 MAC: 4444 默认网关: 192. 168. 20. 1

拼搏 设备安全 CEF的配置: 步骤: 1>启用路由功能: (config)#ip routing 2>启用CEF (config)#ip cef 3>配置路由端口 (config-if)#no switchport (config-if)#swichport

拼搏 设备安全 CEF的配置: 步骤: 1>启用路由功能: (config)#ip routing 2>启用CEF (config)#ip cef 3>配置路由端口 (config-if)#no switchport (config-if)#swichport 把端口配置为交换端口 (config-if)#ip address IP地址 掩码 (config-if)#no shutdown 4>配置路由: 静态路由, RIP、OSPF、EIGRP路由

拼搏 设备安全 交换机端口安全 1. MAC地址与端口绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同 时, 交换机相应的端口将down掉. 当给端口指定MAC地址时, 端口模式必须为access 或者Trunk状态 sw#conf t sw(config)#int f

拼搏 设备安全 交换机端口安全 1. MAC地址与端口绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同 时, 交换机相应的端口将down掉. 当给端口指定MAC地址时, 端口模式必须为access 或者Trunk状态 sw#conf t sw(config)#int f 0/1 sw(config-if)#switchport mode access //指定端口模式 sw(config-if)#switchport-security mac-address 00 -90 -F 5 -10 -79 -C 1 //配置MAC地址 sw(config-if)#switchport-security maximum 1 //限制此端口允许通过的MAC地址数为 1 sw(config-if)#switchport-security violation shutdown //当发现与上述配置不符时,端口down掉

拼搏 设备安全 2. 通过MAC地址来限制端口流量,此配置允许一TRUNK口最多通过N个MAC地址, 超过N时,来自新的主机的数据帧将被丢失 sw#conf t sw(config)#int f 0/1 sw(config-if)#switchport trunk encapsulation dot

拼搏 设备安全 2. 通过MAC地址来限制端口流量,此配置允许一TRUNK口最多通过N个MAC地址, 超过N时,来自新的主机的数据帧将被丢失 sw#conf t sw(config)#int f 0/1 sw(config-if)#switchport trunk encapsulation dot 1 q sw(config-if)#switchport mode trunk sw(config-if)#switchport-security maximum 100 //允许此端口通过的最大MAC地址数目为 100 sw(config-if)#switchport-security violation protect //当MAC地址数目超过100时, 交换机继续 作,但来自新的主机的数据帧将丢失 sw(config-if)#switchport-security violation shutdown //当MAC地址数目超过100时, 这个端口会shutdown

拼搏 设备安全 基于MAC地址的访问控制列表 Switch(config)#mac access-list extended MAC 10 #定义一个MAC地址访问控制列表并且命名该列表名为MAC 10 Switch(config-ext-nacl)#permit host 0009. 6

拼搏 设备安全 基于MAC地址的访问控制列表 Switch(config)#mac access-list extended MAC 10 #定义一个MAC地址访问控制列表并且命名该列表名为MAC 10 Switch(config-ext-nacl)#permit host 0009. 6 bc 4. d 4 bf any #定义MAC地址为 0009. 6 bc 4. d 4 bf的主机可以访问任意主机 Switch(config-ext-nacl)#permit any host 0009. 6 bc 4. d 4 bf #定义所有主机可以访问MAC地址为 0009. 6 bc 4. d 4 bf的主机 Switch(config-if )#interface Fa 0/20 #进入配置具体端口的模式 Switch(config-if )#mac access-group MAC 10 in #在该端口上应用名为MAC 10的访问列表 Switch(config)#no mac access-list extended MAC 10 #清除名为MAC 10的访问列表