實戰演練!CISCO交換機埠安全一點通
對於很多的企業網路管理人員來說,交換機自然是最常打交道的裝置。那麼,你對交換機到底瞭解多少呢?下面我們就通過一個例項,先來探討一下對於交換機埠配置和接入安全性保障的實戰演練!
場景:某單位中有一臺CISCO3550交換機,出於網路安全的考慮,對某些埠的安全性要求較高,即只能接入指定的主機,比如設定一間辦公室只有某 檯膝上型電腦可以接入網路,當他帶著筆記本出去後,即使空出了網路介面,其它的電腦也無法使用這根網線。下面我們就看網路管理人員是如何逐步實現這一需求 的。
一、判斷交換機埠通斷狀態的方法
作為網路管理員,在應用新的功能前,肯定要先經過測試,即為了保證網路的穩定執行,只能在空閒的埠上面測試新功能。如何找到空閒的埠,到交換機的 前面直接去檢視是一種方法,當然作為一名資深的網管人員來說,一般是不會這麼做的,我們是通過在交換機上執行相應的指令來找到自己所需的答案的。以前我是 用show inter命令來看,但是這條命令顯示的資訊太多了,看起來不方便,現在我是用show inter status命令來看,這條命令可以逐條顯示出每個埠的通斷狀態(用“connected”和“notconnect”來表示),本例中我就通過這條命 令找到了一個空閒的埠3來進行隨後的測試。
3550#show inter status
Port Name Status Vlan Duplex Speed Type
Fa0/3 huangtun notconnect 66 auto auto 10/100BaseTX
二、埠安全的基本操作
(一)顯示埠3口上面的MAC地址
3550#show mac-address-table int fa0/3
Mac Address Table
——————————————-
Vlan Mac Address Type Ports
—- ———– ——– —–
(由於埠上面現在沒接任何網線,所以顯示該埠上面沒有任何MAC地址)
(二)清除動態獲到的MAC 地址
3550#clear mac-address-table dynamic inter fa0/3
以上兩步操作的目的是確認當前埠上面沒有MAC地址的記錄,以便證明我們以後進行的操作是有效的。
(三)關閉埠、將其配置為接入埠並執行配置埠安全的命令
埠安全的實現是通過switchport port-security命令來實現的,這是一條核心的指令,輔以與之相關的其它命令,我們就可以實現埠安全的設定。由於大多采用的預設設定,所以本 例實現的功能是埠3上面只允許一個指定的MAC地址通過,並在出現安全違規時關閉埠,先對相關的設定命令做一下解釋:
switchport port-security命令在埠上啟用埠安全,預設設定情況下只允許一個MAC地址通過,並在出現安全違規時關閉介面。)
switchport port-security mac-add sticky命令讓交換機獲悉當前與埠相關聯的MAC地址,該地址將包含在執行配置中。如果將執行配置儲存到啟動配置中,則路由器重啟後,該地址也將保留下來。
介紹完核心命令的操作,我們再介紹一下埠安全操作的思路:首先關閉埠3。使用命令switchport mode access將埠配置為接入埠,以便配置埠安全。使用命令switchport port-securtiy啟用埠安全,然後使用命令swithchport port-security mac-address sticky讓埠獲悉其連線機的主機的IP地址。最後,執行命令no shutdown重新啟用埠,使其能夠獲悉主機的MAC地址,實現以上操作的命令如下。
3550#conf t
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#inter fa0/3
3550(config-if)#shutdown
3550(config-if)#switchport mode access
3550(config-if)#switchport port-security
3550(config-if)#switchport port-security mac-address sticky (設定MAC地址的粘性,我對這條命令的理解是交換機會自動的學習到第一次接到到該埠的網路裝置的MAC地址,並把它記錄到當前的配置檔案中)
3550(config-if)#end
(四)檢視配置資訊的操作
1、檢視當前配置檔案中有關FA0/3埠的資訊
3550#show run inter fa0/3
Building configuration…
Current configuration : 281 bytes
!
interface FastEthernet0/3
switchport access vlan 66
switchport mode access
switchport port-security
switchport port-security mac-address sticky
end
2、檢視有關FA0/3埠安全方面的資訊
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0000.0000.0000
Security Violation Count : 0
(五)實際測試
我們拿一臺膝上型電腦,接入FA0/3埠,這檯筆記本網路卡的狀態顯示為連通,由於VLAN66網段內有DHCP伺服器,也可以順利的獲取IP地址,訪問網路。然後再將連線這檯膝上型電腦的網線接到另外一臺微機上,該微機的網路卡狀態顯示為斷開,說明埠安全已經生效。
(六)存在的問題
本來以為埠安全的操作到此已經完成了,但是將這根網線再插回到剛才的那臺膝上型電腦上時,卻發現網路仍然處於斷開狀態,檢視埠的狀態,處於 “error disable”,雖然我們可以通過在FA0/3埠執行shutdown和no shutdown命令將這個埠恢復正常,但是這個操作太麻煩了,而且也不現實,總不能每次使用者每次發現埠關閉了以後,都去找網管員執行 shutdown、no shutdonw命令。
三、對埠安全設定的深入研究
在已經實現埠安全的基礎上(雖然效果跟我們的要求還有一定差距),我們繼續對相關的功能進行研究,在檢視埠安全狀態的“Violation(違 背) Mode”時,發現預設的處理是shutdown,那麼還有沒有其它的選項呢通過“”(幫助),我們還真找到其它的兩個選項,分別為
3550(config-if)#switchport port-security violation
protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown mode
通過檢視相關的資料,我們瞭解到protect引數的含義是當發生違背安全的情況時,是將資料包丟棄,這正好我們的設想,即不是將發生違規的埠關閉,而是將違規的資料包丟棄,這才是我們所要的結果,具體的設定命令如下:
3550#conf t
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#inter fa0/3
3550(config-if)#shut
3550(config-if)#end
3550#show port-security inter fa0/3
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Protect
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address : 485b.39b8.a060
Security Violation Count : 0
從實際測試的效果來看也達到我們的要求,即該埠安全的設定生效後,首先連線膝上型電腦是可以接入網路的,更換為一臺桌上型電腦以後,該桌上型電腦的網路卡狀態仍然顯示為已連線,但是網路資料不通,當重新接回膝上型電腦後,網路的通訊又恢復正常了。
場景:某單位中有一臺CISCO3550交換機,出於網路安全的考慮,對某些埠的安全性要求較高,即只能接入指定的主機,比如設定一間辦公室只有某 檯膝上型電腦可以接入網路,當他帶著筆記本出去後,即使空出了網路介面,其它的電腦也無法使用這根網線。下面我們就看網路管理人員是如何逐步實現這一需求 的。
一、判斷交換機埠通斷狀態的方法
作為網路管理員,在應用新的功能前,肯定要先經過測試,即為了保證網路的穩定執行,只能在空閒的埠上面測試新功能。如何找到空閒的埠,到交換機的 前面直接去檢視是一種方法,當然作為一名資深的網管人員來說,一般是不會這麼做的,我們是通過在交換機上執行相應的指令來找到自己所需的答案的。以前我是 用show inter命令來看,但是這條命令顯示的資訊太多了,看起來不方便,現在我是用show inter status命令來看,這條命令可以逐條顯示出每個埠的通斷狀態(用“connected”和“notconnect”來表示),本例中我就通過這條命 令找到了一個空閒的埠3來進行隨後的測試。
3550#show inter status
Port Name Status Vlan Duplex Speed Type
Fa0/3 huangtun notconnect 66 auto auto 10/100BaseTX
二、埠安全的基本操作
(一)顯示埠3口上面的MAC地址
3550#show mac-address-table int fa0/3
Mac Address Table
——————————————-
Vlan Mac Address Type Ports
—- ———– ——– —–
(由於埠上面現在沒接任何網線,所以顯示該埠上面沒有任何MAC地址)
(二)清除動態獲到的MAC 地址
3550#clear mac-address-table dynamic inter fa0/3
以上兩步操作的目的是確認當前埠上面沒有MAC地址的記錄,以便證明我們以後進行的操作是有效的。
(三)關閉埠、將其配置為接入埠並執行配置埠安全的命令
埠安全的實現是通過switchport port-security命令來實現的,這是一條核心的指令,輔以與之相關的其它命令,我們就可以實現埠安全的設定。由於大多采用的預設設定,所以本 例實現的功能是埠3上面只允許一個指定的MAC地址通過,並在出現安全違規時關閉埠,先對相關的設定命令做一下解釋:
switchport port-security命令在埠上啟用埠安全,預設設定情況下只允許一個MAC地址通過,並在出現安全違規時關閉介面。)
switchport port-security mac-add sticky命令讓交換機獲悉當前與埠相關聯的MAC地址,該地址將包含在執行配置中。如果將執行配置儲存到啟動配置中,則路由器重啟後,該地址也將保留下來。
介紹完核心命令的操作,我們再介紹一下埠安全操作的思路:首先關閉埠3。使用命令switchport mode access將埠配置為接入埠,以便配置埠安全。使用命令switchport port-securtiy啟用埠安全,然後使用命令swithchport port-security mac-address sticky讓埠獲悉其連線機的主機的IP地址。最後,執行命令no shutdown重新啟用埠,使其能夠獲悉主機的MAC地址,實現以上操作的命令如下。
3550#conf t
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#inter fa0/3
3550(config-if)#shutdown
3550(config-if)#switchport mode access
3550(config-if)#switchport port-security
3550(config-if)#switchport port-security mac-address sticky (設定MAC地址的粘性,我對這條命令的理解是交換機會自動的學習到第一次接到到該埠的網路裝置的MAC地址,並把它記錄到當前的配置檔案中)
3550(config-if)#end
(四)檢視配置資訊的操作
1、檢視當前配置檔案中有關FA0/3埠的資訊
3550#show run inter fa0/3
Building configuration…
Current configuration : 281 bytes
!
interface FastEthernet0/3
switchport access vlan 66
switchport mode access
switchport port-security
switchport port-security mac-address sticky
end
2、檢視有關FA0/3埠安全方面的資訊
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0000.0000.0000
Security Violation Count : 0
(五)實際測試
我們拿一臺膝上型電腦,接入FA0/3埠,這檯筆記本網路卡的狀態顯示為連通,由於VLAN66網段內有DHCP伺服器,也可以順利的獲取IP地址,訪問網路。然後再將連線這檯膝上型電腦的網線接到另外一臺微機上,該微機的網路卡狀態顯示為斷開,說明埠安全已經生效。
(六)存在的問題
本來以為埠安全的操作到此已經完成了,但是將這根網線再插回到剛才的那臺膝上型電腦上時,卻發現網路仍然處於斷開狀態,檢視埠的狀態,處於 “error disable”,雖然我們可以通過在FA0/3埠執行shutdown和no shutdown命令將這個埠恢復正常,但是這個操作太麻煩了,而且也不現實,總不能每次使用者每次發現埠關閉了以後,都去找網管員執行 shutdown、no shutdonw命令。
三、對埠安全設定的深入研究
在已經實現埠安全的基礎上(雖然效果跟我們的要求還有一定差距),我們繼續對相關的功能進行研究,在檢視埠安全狀態的“Violation(違 背) Mode”時,發現預設的處理是shutdown,那麼還有沒有其它的選項呢通過“”(幫助),我們還真找到其它的兩個選項,分別為
3550(config-if)#switchport port-security violation
protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown mode
通過檢視相關的資料,我們瞭解到protect引數的含義是當發生違背安全的情況時,是將資料包丟棄,這正好我們的設想,即不是將發生違規的埠關閉,而是將違規的資料包丟棄,這才是我們所要的結果,具體的設定命令如下:
3550#conf t
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#inter fa0/3
3550(config-if)#shut
3550(config-if)#end
3550#show port-security inter fa0/3
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Protect
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address : 485b.39b8.a060
Security Violation Count : 0
從實際測試的效果來看也達到我們的要求,即該埠安全的設定生效後,首先連線膝上型電腦是可以接入網路的,更換為一臺桌上型電腦以後,該桌上型電腦的網路卡狀態仍然顯示為已連線,但是網路資料不通,當重新接回膝上型電腦後,網路的通訊又恢復正常了。
本文轉自 h2appy 51CTO部落格,原文連結:http://blog.51cto.com/h2appy/624401,如需轉載請自行聯絡原作者
相關文章
- CISCO交換機,埠安全配置例項。
- Cisco交換機配置新手篇-埠配置(一)
- 交換機埠安全總結
- Gin實戰演練
- CISCO交換機STP實驗(生成樹協議)協議
- 華為交換機埠安全詳解--埠隔離、環路檢測與埠安全
- 《Python高效開發實戰》實戰演練——開發Django站點1PythonDjango
- 容災演練,一鍵切換,浙大二院實戰演練圓滿成功!
- cisco交換機命令總結匯集
- Cisco交換機生成樹協議配置協議
- 詳解H3C交換機“埠安全”功能
- 混沌演練實踐(一)
- 交換機埠總結
- HUAWEI交換機埠映象
- 各種交換機埠安全總結(配置例項)(轉)
- 華為交換機和銳捷交換機埠隔離
- 實戰、實效!360終端安全管理系統攻防演練落地應用方案
- 二層交換機埠模式模式
- 華為交換機埠映象配置
- Cisco 交換機之間的連線方法(轉)
- Cisco Catalyst交換機密碼恢復策略(轉)密碼
- 建立REST SOE實戰演練系列連結REST
- Cisco路由器與交換機口令回覆步驟路由器
- CISCO 9124光纖交換機除錯經歷除錯
- CISCO 交換機IOS升級排障例項(轉)iOS
- iOS 元件化 使用cocoapods整合實戰演練iOS元件化
- WinForm企業級框架實戰專案演練ORM框架
- Delphi托盤程式設計實戰演練 (轉)程式設計
- 交換機M:N埠映象配置
- 思科3560交換機埠限速
- 攻防論道|四大制勝錦囊 嚴守實戰演練安全之門
- 湖北聯通聯手銀行開展網路安全演練
- 在多臺Cisco交換機更改相同的配置命令(轉)
- android學習視訊(實戰專案演練)Android
- 你最需要了解的H3C交換機埠安全模式模式
- 使用DHCP監聽、IPSG和DAI實現Cisco多層交換網路的安全AI
- 千兆乙太網交換機的SFP埠有什麼優點(轉)
- CISCO 4500系列交換機動態VLAN與VMPS的配置