第十五讲:神州交换机端口安全配置

news2024/11/20 2:32:18

知识点:

  1. 开启端口安全模式;
  2. 设置端口最大安全数;
  3. 端口绑定MAC地址;
  4. 违规处理;
  5. 锁定安全端口;
  6. MAC地址与IP的绑定;
  7. 端口镜像。

实验拓扑如下图所示

PC机

IP地址

掩码

MAC地址

端口

PC1

192.168.1.10

255.255.255.0

00-0b-4c-9e-2a-1c

E1/0/1

PC2

192.168.1.11

255.255.255.0

00-0b-2e-5d-62-4e

E1/0/2

PC3

192.168.1.12

255.255.255.0

00-0b-cd-4a-97-08

E1/0/3

一、静态绑定单个端口与设备MAC地址:

1.绑定MAC地址

S1(config)#interface ethernet1/0/1

S1(config-if-ethernet1/0/1)#switchport port-security        //开启端口安全

S1(config-if-ethernet1/0/1)#switchport port-security maximum 10  //设置端口安全最大数为10

S1(config-if-ethernet1/0/1)#switchport port-security mac-address 00-0b-4c-9e-2a-1c

     // E1/0/1端口绑定PC1的MAC地址

S1(config-if-ethernet1/1)#switchport port-security violation shutdown   //违规关闭

S1(config-if-ethernet1/1)#switchport port-security lock     //锁定安全端口

 二.验证配置

1.用如下命令验证配置:

Switch#show port-security                 //查看端口安全

Switch#show port-security mac-address      //查看绑定的MAC地址

2.验证PC1只能通过其绑定的E1/1端口与网络进行通信

PC1分别Ping PC2和PC3可以Ping通

    C:\Documents and Settings\Administrator>ping 192.168.1.12

    Pinging 192.168.1.12 with 32 bytes of data:

   Reply from 192.168.1.12: bytes=32 time<1ms TTL=64

    Reply from 192.168.1.12: bytes=32 time<1ms TTL=64

    Reply from 192.168.1.12: bytes=32 time<1ms TTL=64

    Reply from 192.168.1.12: bytes=32 time<1ms TTL=64

    Ping statistics for 192.168.1.12:

        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

    Approximate round trip times in milli-seconds:

        Minimum = 0ms, Maximum = 0ms, Average = 0ms

把PC1更换到E1/4端口,再次Ping PC2和PC3,已无法Ping通:

    C:\Documents and Settings\Administrator>ping 192.168.1.12

    Pinging 192.168.1.12 with 32 bytes of data:

    Request timed out.

    Request timed out.

    Request timed out.

    Request timed out.

    Ping statistics for 192.168.1.12:

        Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

3.验证其他设备在特定端口的绑定情况

    把PC2更换到E0/0/1口,分别Ping E1/3口的PC3和E14口的PC1:

    C:\Documents and Settings\Administrator>ping 192.168.1.12

    Pinging 192.168.1.12 with 32 bytes of data:

    Reply from 192.168.1.12: bytes=32 time<1ms TTL=64

    Reply from 192.168.1.12: bytes=32 time<1ms TTL=64

    Reply from 192.168.1.12: bytes=32 time<1ms TTL=64

    Reply from 192.168.1.12: bytes=32 time<1ms TTL=64

        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

    Approximate round trip times in milli-seconds:

        Minimum = 0ms, Maximum = 0ms, Average = 0ms

  •  

C:\Documents and Settings\Administrator>ping 192.168.1.10

    Pinging 192.168.1.10 with 32 bytes of data:

    Request timed out.

    Request timed out.

    Request timed out.

    Request timed out.

    Ping statistics for 192.168.1.10:

     Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

可见:端口E1/1绑定了PC1,非PC1的MAC地址依然可以与其他MAC地址通信,只是PC1只能通过E1/1端口进行通信。

三、绑定MAC-IP地址:

     MAC-IP地址绑定可以将端口绑定为指定的设备和IP地址,更换设备或IP地址均无法通过此端口访问

    S1(config)#am enable

    S1(config)#interface ethernet1/0/2

    S1(config-if-ethernet1/1)#am port

    S1(config-if-ethernet1/1)#am mac-ip-pool 00-0b-2e-5d-62-4e 192.168.1.11

                             // E1/0/2端口绑定PC2的MAC与PC2的IP地址

将端口E1/0/2绑定为PC2,此时PC2可通过该端口访问PC1或PC3。若更改PC2的IP地址,或将其他设备(如PC3)连接E1/0/2端口则无法进行访问。

四、绑定IP地址区间:

    将端口绑定一个IP地址区间,则此区间的IP地址设备可通过该端口进行访问,不在此区间的IP地址无法通过该端口访问网络

    S1(config)#am enable

    S1(config)#interface ethernet 1/0/3

    S1(config-if-ethernet1/2)#am port

    S1(config-if-ethernet1/2)#am ip-pool   192.168.1.12 2    

           //将端口E1/0/3绑定192.168.1.12和192.168.1.13两个IP地址

    除192.168.1.12和192.168.1.13外的其他IP地址均无法通过此端口通信。

五、端口镜像

第1步:配置源端口

S1(config)#monitor session 1 source interface fastEthernet 1/0/2 both

    //监听E1/0/2端口的进出流量

             both         管理发送和接收的流量

             rx           只管理接收的流量

             tx           只管理发送的流量

第2步:配置端口镜像

S1(config)#monitor session 1 destination interface fastEthernet 1/0/1

     //把监听端口的流量镜像到端口E1/0/1

第3步:验证配置

S1(config)#show monitor session 1

sess-num: 1

span-type: LOCAL_SPAN

src-intf:

FastEthernet 1/0/2            frame-type Both

dest-intf:

FastEthernet 1/0/1

在PC1上启动抓包软件,使PC2 ping PC3,看是否可以捕捉到数据包。

端口镜像的限制

(1) 目前只支持一个镜像目的端口,镜像源端口则没有使用上的限制,可以是1个也可以是多个,多个源端口可以在相同的VLAN,也可以在不同VLAN。但如果镜像目的端口要能镜像到多个镜像源端口的流量,镜像目的端口必须要同时属于这些镜像源端口的所在的VLAN。

(2) 镜像目的端口不能是端口聚合组成员;

(3) 镜像目的端口的吞吐量如果小于镜像源端口吞吐量的总和,则目的端口无法完全复制源端口的流量;请减少源端口的个数或复制单向的流量,或者选择吞吐量更大的端口作为目的端口。

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/124644.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Windows10安装ubuntu(WSL2,可直接调用Win10程序) —2022年笔记

Windows10安装ubuntu(WSL2,可直接调用Win10程序) —2022年笔记

算是wsl2的使用总结。 一。启动win10虚拟机模块 1. 打开控制面板&#xff08;或开始->运行: control&#xff09; 2. 点击最左边的 “启用或关闭windows功能”&#xff0c;会弹出模块勾选界面 3. 勾上 Hyper-V、适用于Linux的Windows子系统、虚拟机平台 4. 点击确定按钮即开…
阅读更多...
【微服务】Nacos 注册中心的设计原理

【微服务】Nacos 注册中心的设计原理

目录 一、前言 二、数据模型 三、数据一致性 四、负载均衡 五、健康检查 六、性能与容量 七、易用性 八、集群扩展性 九、用户扩展性 十、结尾 &#x1f496; Spring家族及微服务系列文章 一、前言 服务发现是⼀个古老的话题&#xff0c;当应用开始脱离单机运行和访…
阅读更多...
Mysql查询性能优化

Mysql查询性能优化

Mysql查询性能优化0.前言1.为什么查询速度会慢2. 慢查询基础&#xff1a;优化数据访问2.1 是否向数据库请求了不需要的数据2.2 MYSQL是否在扫描额外的记录响应时间扫描的行数和返回的行数3. 重构查询方式3.1 一个复杂查询还是多个简单查询3.2 切分查询3.3 分解关联查询0.前言 …
阅读更多...
DAG任务调度系统 Taier 演进之道,探究DataSourceX 模块

DAG任务调度系统 Taier 演进之道,探究DataSourceX 模块

熟悉Taier的小伙伴们应该都知道&#xff0c;在11月7日发布的Taier1.3新版本中&#xff0c;我们融合了「DataSourceX 模块」。这是十分重要的一个变化&#xff0c;移除Taier外部插件依赖&#xff0c;新增数据源插件相关特性&#xff0c;支持后续Taier对接更多的RDBMS类型的SQL任…
阅读更多...
小鹅通六周年:新知识服务时代,做好企业的“共享CTO”

小鹅通六周年:新知识服务时代,做好企业的“共享CTO”

2022年&#xff0c;产业数字化汹涌而来&#xff0c;驱动企业变革转型的同时&#xff0c;知识也以新的形式出现在各行各业。人人表达和传递知识&#xff0c;知识服务开始进入“下半场”。 如何应用数字化产品满足个人和组织的知识表达需求&#xff1f;作为知识产品与用户服务的…
阅读更多...
HashMap的结构,1.7和1.8有哪些区别

HashMap的结构,1.7和1.8有哪些区别

一、真实面试题之&#xff1a;Hashmap的结构&#xff0c;1.7和1.8有哪些区别 不同点&#xff1a; &#xff08;1&#xff09;JDK1.7用的是头插法&#xff0c;而JDK1.8及之后使用的都是尾插法&#xff0c;那么他们为什么要这样做呢&#xff1f;因为JDK1.7是用单链表进行的纵向…
阅读更多...
【开源项目】单点登录框架XXL-SSO源码解析

【开源项目】单点登录框架XXL-SSO源码解析

单点登录框架XXL-SSO源码解析 项目介绍 XXL-SSO 是一个分布式单点登录框架。只需要登录一次就可以访问所有相互信任的应用系统。 拥有"轻量级、分布式、跨域、CookieToken均支持、WebAPP均支持"等特性。现已开放源代码&#xff0c;开箱即用。 项目地址 https://g…
阅读更多...
GRAPH ATTENTION NETWORKS 论文/GAT学习笔记

GRAPH ATTENTION NETWORKS 论文/GAT学习笔记

背景 目标&#xff1a;适用不同结构的图的模型 图卷积 基于谱的方法 &#xff1a; 这些方法学习得到的filters基于拉普拉斯特征基&#xff0c;而拉普拉斯特征基又基于图结构&#xff0c;所以在特定结构上训练的模型不能直接应用到具有不同结构的图。代表&#xff1a;GCN 不基…
阅读更多...
分布式系统下的认证与授权

分布式系统下的认证与授权

在软件系统设计中&#xff0c;如何让应用能够在各种环境中安全高效的访问是个复杂的问题&#xff0c;这个问题的背后是一系列软件设计时需要考虑的架构安全问题&#xff1a;架构安全性 | 凤凰架构 认证&#xff1a;系统如何识别合法用户&#xff0c;也就是解决 你是谁 的问题&…
阅读更多...
2022年全球气候金融产品研究报告

2022年全球气候金融产品研究报告

第一章 全球气候金融概述 气候变化既是环境问题也是发展问题&#xff0c;需要大量气候资金的投入&#xff0c;金融作为推动经济发展的核心要素&#xff0c;在应对天气变化中能够发挥重要作用。气候金融是与应对气候变化相关的创新金融&#xff0c;是利用多渠道资金来源、运用多…
阅读更多...
redhat9安装卸载mysql

redhat9安装卸载mysql

文章目录一.仓库安装1.1、下载rpm包1.2、挂载1.3、安装mysql1.4、启动mysql服务1.5、查看临时密码1.6、登录mysql二.本地安装2.1、复制链接2.2、下载解压2.3、安装需要的包2.4、启动服务2.5、登录mysql三.容器安装3.1、安装docker3.2、run镜像3.3、登录mysql四.源码安装4.1、复…
阅读更多...
STM32MP157驱动开发——多点电容触摸屏驱动

STM32MP157驱动开发——多点电容触摸屏驱动

STM32MP157驱动开发——多点电容触摸屏驱动一、简介二、电容触摸屏驱动框架简介多点触摸(MT)协议详解三、驱动开发1.添加 FT5426 设备节点2.FT5426 节点配置3.驱动编写4.运行测试5.将驱动添加到内核中1&#xff09;将驱动文件放到合适的位置2&#xff09;修改Makefile6.tslib 移…
阅读更多...
Xillinx的设计约束阅读整理

Xillinx的设计约束阅读整理

《适用于FPGA和SOC的UlteraFast设计方法指南》&#xff08;UG949&#xff09; 《Vivado Design Suite 用户指南&#xff1a;设计分析与收敛技巧》(UG906) 《Vivado Design Suite 用户指南&#xff1a;使用约束》(UG903) 《Vivado Design Suite Tcl 命令参考指南》(UG835) 约束文…
阅读更多...
【java基础】关于线程的一些基础知识点

【java基础】关于线程的一些基础知识点

1.线程的概念&#xff1a; 在java的应用中&#xff0c;线程更多情况下指的是Thread&#xff0c;更精细一点&#xff0c;执行线程就是执行Thread实体下面的run方法&#xff0c;java通过cpu调试&#xff0c;交替进行这些thread&#xff0c;就达到了共同进行这种效果&#xff1b;…
阅读更多...
【尚硅谷】SpringBoot2核心技术-1-基础入门

【尚硅谷】SpringBoot2核心技术-1-基础入门

【尚硅谷】SpringBoot2核心技术-1-基础入门一、Spring与SpringBoot1、Spring能做什么1.1、Spring的能力1.2、Spring的生态【没写完】二、SpringBoot2入门1、系统要求1.1、maven设置2、HelloWorld2.1、创建maven工程2.2、引入依赖2.3、创建主程序2.4、编写业务2.5、测试2.6、简化…
阅读更多...
DM8开发技能

DM8开发技能

DM8开发技能 基础学习笔记005 文章目录DM8开发技能1、DMSQL程序设计1.1 概念1.2 数据类型1.3 程序定义1.3.1 存储过程1.3.2 存储函数1.3.3 客户端DMSQL程序1.3.4 参数1.3.5 控制结构&#xff08;1&#xff09;顺序结构&#xff08;2&#xff09;分支结构&#xff08;3&#xf…
阅读更多...
Doo Prime 德璞资本:道琼斯期货投资前必看的入门知识

Doo Prime 德璞资本:道琼斯期货投资前必看的入门知识

美国道琼工业指数是全球最受关注的股指之一&#xff0c;而道琼斯期货则是典型的衍生性金融商品&#xff0c;交易的标的是道琼指数本身&#xff0c;属于期货投资的范畴&#xff0c;适合短线进出、波段交易。想要参与美国的期货投资市场&#xff0c;却不知道期货该如何开始吗&…
阅读更多...
C# XPath的概念

C# XPath的概念

一 XPath的概念 1 XPath是对XML进行查询的表达式 ① Axes(路径) / 及 //; ② 第几个子节点[1] 等&#xff1b; ③ 属性 ④ 条件 [] ⑤ 例如 /books/book/title //price para[type“warning”][5] 2 使用XPath ① XmlDocument docnew XmlDocument(); ② doc.LoadXml(strXml)…
阅读更多...
通过idea打包java Maven项目 架包与全包

通过idea打包java Maven项目 架包与全包

1 仅架包 架包定义&#xff1a;指仅将代码打包到jar中&#xff0c;在运行的平台必须保证依赖。 方法&#xff1a;maven —> Lifecyle —> Clean —> Package 2 架包与全包(推荐) 全包定义&#xff1a;将maven项目中的依赖于代码都打为一个包。 方法&#xff1a;mave…
阅读更多...
RK3568平台开发系列讲解(Linux系统篇)Linux 管道的使用

RK3568平台开发系列讲解(Linux系统篇)Linux 管道的使用

🚀返回专栏总目录 文章目录 一、 管道1.1、单向管道1.2、双向管道沉淀、分享、成长,让自己和他人都能有所收获!😄 📢本篇将介绍管道的使用。 一、 管道 在 fork() 成功创建子进程之后,已经打开的文件描述符在父子进程间是共享的,管道就是利用这一特性来工作的。 创建…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023