网络安全 当前位置:首页 > 计算机学习 > 网络知识 > 网络安全>正文

CCIE试验备考之交换security(1)推荐

【网络安全】 2018-01-26本文已影响
第一部分? 端口安全zuf68学习网-学习教育资源分享平台
端口安全是一种第2层特性,并且能够提供如下5种保护特性:zuf68学习网-学习教育资源分享平台
l?基于主机MAC地址允许流量zuf68学习网-学习教育资源分享平台
l?基于主机MAC地址限制流量zuf68学习网-学习教育资源分享平台
l?在期望的端口上阻塞单播扩散zuf68学习网-学习教育资源分享平台
l?避免MAC扩散攻击zuf68学习网-学习教育资源分享平台
l?避免MAC欺骗攻击第一.? 基于主机的MAC地址允许流量zuf68学习网-学习教育资源分享平台
端口安全能够基于主机MAC地址而允许流量。单个端口能够允许一个以上到某个特定数目的MAC地址。根据交换机型号的不同,他们所允许的最大MAC地址数也不相同。这种特性有助于规定每个端口所允许的主机数。例如,通过将用户端口限制到1个学到的MAC地址,而将会议室端口限制到10个MAC地址,将有助于避免网络的非授权访问。zuf68学习网-学习教育资源分享平台
通过如下步骤,将可以根据主机MAC地址来允许流量,进而启动端口安全:zuf68学习网-学习教育资源分享平台
步骤1:对存在问题的端口启用端口安全zuf68学习网-学习教育资源分享平台
步骤2:配置学习主机MAC地址zuf68学习网-学习教育资源分享平台
步骤3:指定安全违背行为(默认行为是永久性地关闭端口)zuf68学习网-学习教育资源分享平台
步骤4:如果安全违背行为准备关闭端口,就需要配置err-disable计时器,err-disable计时器是一个全局值。zuf68学习网-学习教育资源分享平台
配置过程zuf68学习网-学习教育资源分享平台
1.?配置每个端口所允许的最大MAC地址数zuf68学习网-学习教育资源分享平台
1)?进入全局模式? configure terminalzuf68学习网-学习教育资源分享平台
2)?进入接口模式? interface 接口zuf68学习网-学习教育资源分享平台
3)?配置接口模式zuf68学习网-学习教育资源分享平台
??? switchport mode access|trunkzuf68学习网-学习教育资源分享平台
注意:一个接口使用默认模式(动态协商)不能启用端口安全zuf68学习网-学习教育资源分享平台
4)?设置最大MAC数zuf68学习网-学习教育资源分享平台
??? swtichport port-security maximum 最大值zuf68学习网-学习教育资源分享平台
??? switchport port-security vlan vlan列表 [access|voice]zuf68学习网-学习教育资源分享平台
可以设置每个VLAN中允许的最大MAC数,access表示为该vlan是接入vlan,voice表示该vlan是语音vlan2.配置端口允许的MAC地址zuf68学习网-学习教育资源分享平台
1)?进入接口模式? interface 接口zuf68学习网-学习教育资源分享平台
2)?配置允许的MAC地址zuf68学习网-学习教育资源分享平台
手工指定:zuf68学习网-学习教育资源分享平台
?? switchport port-security mac-address mac地址 [vlan vlan号|[access|voice]]zuf68学习网-学习教育资源分享平台
动态学习:交换机可以动态学习MAC地址并加入到MAC地址表中,当交换机重新启动后将丢失zuf68学习网-学习教育资源分享平台
粘性地址:可以动态学习或手工配置,学习后MAC地址加入到MAC地址表,如果保存配置文件,当交换机重新启动后,交换机不再需要动态学习的那些之前动态学习的地址了zuf68学习网-学习教育资源分享平台
????????? switchport port-security mac-address sticky3. 配置安全违背行为zuf68学习网-学习教育资源分享平台
1)?进入接口模式?? interface 接口zuf68学习网-学习教育资源分享平台
2)?配置违规后的动作zuf68学习网-学习教育资源分享平台
??? switchport port-security violation protect|restrict|shutdownzuf68学习网-学习教育资源分享平台
??? protect:保护,当安全MAC地址数量达到了端口所允许的最大MAC地址数的时候,交换机会继续工作,但将把来自新主机的数据帧丢弃,直到删??? 除足够数量的MAC地址使其低于最大值。zuf68学习网-学习教育资源分享平台
??? Restrict:限制,交换机继续工作,向网络管理站(SNMP)发出一个陷阱trap通告zuf68学习网-学习教育资源分享平台
??? Shutdown:关闭,交换机将永久性或在特定时间周期内err-disable端口,并发送一个SNMP的trap陷阱通告zuf68学习网-学习教育资源分享平台
??? 需要配置关闭模式下的err-disable计时器zuf68学习网-学习教育资源分享平台
??? err-disable recovery cause secure-violationzuf68学习网-学习教育资源分享平台
??? 启用err-disablezuf68学习网-学习教育资源分享平台
??? err-disable recovery interval 计时器zuf68学习网-学习教育资源分享平台
案例:zuf68学习网-学习教育资源分享平台
Switch(config)# interface gigabitethernet0/1zuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport mode accesszuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport port-securityzuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport port-security maximum 50zuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport port-security mac-address stickyzuf68学习网-学习教育资源分享平台
--------------------------------------------------------------------zuf68学习网-学习教育资源分享平台
Switch(config)# interface f0/1zuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport mode accesszuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport port-securityzuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport port-security maximum 1zuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport port-security mac-address 0000.0000.0008zuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport port-security violation restrictzuf68学习网-学习教育资源分享平台
Switch(config)# interface f0/2zuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport mode accesszuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport port-securityzuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport port-security maximum 1zuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport port-security mac-address 0000.0000.0011zuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport port-security violation shutdownzuf68学习网-学习教育资源分享平台
-----------------------------------------------------------------------zuf68学习网-学习教育资源分享平台
案例:zuf68学习网-学习教育资源分享平台
Switch(config)#int f0/1zuf68学习网-学习教育资源分享平台
Switch(config-if)#switchport port-securityzuf68学习网-学习教育资源分享平台
Command rejected: Fa0/1 is not an access port.?? //先启动端口安全会出现错误提示zuf68学习网-学习教育资源分享平台
Switch(config-if)#swit mode accesszuf68学习网-学习教育资源分享平台
Switch(config-if)#switchport port-security???????? //启动端口安全zuf68学习网-学习教育资源分享平台
Switch(config-if)#switchport port-security maximum ?zuf68学习网-学习教育资源分享平台
? <1-132>? Maximum addresseszuf68学习网-学习教育资源分享平台
Switch(config-if)#do show mac-address-tablezuf68学习网-学习教育资源分享平台
????????? Mac Address Tablezuf68学习网-学习教育资源分享平台
-------------------------------------------Vlan??? Mac Address?????? Type??????? Portszuf68学习网-学习教育资源分享平台
----??? -----------?????? --------??? -----zuf68学习网-学习教育资源分享平台
?All??? 000d.6564.0280??? STATIC????? CPUzuf68学习网-学习教育资源分享平台
?All??? 0100.0ccc.cccc??? STATIC????? CPUzuf68学习网-学习教育资源分享平台
?All??? 0100.0ccc.cccd??? STATIC????? CPUzuf68学习网-学习教育资源分享平台
?All??? 0100.0cdd.dddd??? STATIC????? CPUzuf68学习网-学习教育资源分享平台
?? 1??? 000b.5f2c.2097??? DYNAMIC???? Fa0/23zuf68学习网-学习教育资源分享平台
?? 1??? 0010.7b35.e9b6??? DYNAMIC???? Fa0/1?????????????? //这是和路由器相连的地址zuf68学习网-学习教育资源分享平台
?? 1??? 00a1.b003.3cd7??? DYNAMIC???? Fa0/18zuf68学习网-学习教育资源分享平台
? 10??? 000b.5f2c.2097??? DYNAMIC???? Fa0/23zuf68学习网-学习教育资源分享平台
? 20??? 000b.5f2c.2097??? DYNAMIC???? Fa0/23zuf68学习网-学习教育资源分享平台
? 30??? 000b.5f2c.2097??? DYNAMIC???? Fa0/23zuf68学习网-学习教育资源分享平台
? 40??? 000b.5f2c.2097??? DYNAMIC???? Fa0/23zuf68学习网-学习教育资源分享平台
?100??? 000b.5f2c.2097??? DYNAMIC???? Fa0/23zuf68学习网-学习教育资源分享平台
?200??? 000b.5f2c.2097??? DYNAMIC???? Fa0/23zuf68学习网-学习教育资源分享平台
?201??? 000b.5f2c.2097??? DYNAMIC???? Fa0/23zuf68学习网-学习教育资源分享平台
?202??? 000b.5f2c.2097??? DYNAMIC???? Fa0/23zuf68学习网-学习教育资源分享平台
Total Mac Addresses for this criterion: 15zuf68学习网-学习教育资源分享平台
------------------------------------------------------------------zuf68学习网-学习教育资源分享平台
Switch(config-if)#switchport port-security mac-address 0010.7b35.e9b6zuf68学习网-学习教育资源分享平台
Switch(config-if)#switchport port-security violation shutdownzuf68学习网-学习教育资源分享平台
Switch#show port-security interface f0/1zuf68学习网-学习教育资源分享平台
Port Security????????????? : Enabledzuf68学习网-学习教育资源分享平台
Port Status??????????????? : Secure-upzuf68学习网-学习教育资源分享平台
Violation Mode???????????? : Shutdownzuf68学习网-学习教育资源分享平台
Aging Time???????????????? : 0 minszuf68学习网-学习教育资源分享平台
Aging Type???????????????? : Absolutezuf68学习网-学习教育资源分享平台
SecureStatic Address Aging : Disabledzuf68学习网-学习教育资源分享平台
Maximum MAC Addresses????? : 1zuf68学习网-学习教育资源分享平台
Total MAC Addresses??????? : 1zuf68学习网-学习教育资源分享平台
Configured MAC Addresses?? : 1zuf68学习网-学习教育资源分享平台
Sticky MAC Addresses?????? : 0zuf68学习网-学习教育资源分享平台
Last Source Address??????? : 0010.7b35.e9b6zuf68学习网-学习教育资源分享平台
Security Violation Count?? : 1zuf68学习网-学习教育资源分享平台
-----------------------------------------------------zuf68学习网-学习教育资源分享平台
Switch#show port-securityzuf68学习网-学习教育资源分享平台
Secure Port? MaxSecureAddr? CurrentAddr? SecurityViolation? Security Actionzuf68学习网-学习教育资源分享平台
??????????????? (Count)?????? (Count)????????? (Count)zuf68学习网-学习教育资源分享平台
---------------------------------------------------------------------------zuf68学习网-学习教育资源分享平台
????? Fa0/1????????????? 1??????????? 1????????????????? 0???????? Shutdownzuf68学习网-学习教育资源分享平台
---------------------------------------------------------------------------zuf68学习网-学习教育资源分享平台
Total Addresses in System (excluding one mac per port)???? : 0zuf68学习网-学习教育资源分享平台
Max Addresses limit in System (excluding one mac per port) : 1024zuf68学习网-学习教育资源分享平台
---------------------------------------------------------------------------zuf68学习网-学习教育资源分享平台
Switch#show port-security addresszuf68学习网-学习教育资源分享平台
????????? Secure Mac Address Tablezuf68学习网-学习教育资源分享平台
-------------------------------------------------------------------zuf68学习网-学习教育资源分享平台
Vlan??? Mac Address?????? Type??????????????? Ports?? Remaining Agezuf68学习网-学习教育资源分享平台
???????????????????????????????????????????????????????? (mins)zuf68学习网-学习教育资源分享平台
----??? -----------?????? ----??????????????? -----?? -------------zuf68学习网-学习教育资源分享平台
?? 1??? 0010.7b35.e9b6??? SecureConfigured??????? Fa0/1??????? -zuf68学习网-学习教育资源分享平台
-------------------------------------------------------------------zuf68学习网-学习教育资源分享平台
Total Addresses in System (excluding one mac per port)???? : 0zuf68学习网-学习教育资源分享平台
Max Addresses limit in System (excluding one mac per port) : 1024zuf68学习网-学习教育资源分享平台
现在我们把mac地址为00a1.b003.3cd7的主机接入到f0/1中,此时会出现如下的信息:zuf68学习网-学习教育资源分享平台
00:24:08: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, puttingzuf68学习网-学习教育资源分享平台
Fa0/1 in err-disable statezuf68学习网-学习教育资源分享平台
00:24:08: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 00a1.b003.3cd7 on port FastEthernet0/1.zuf68学习网-学习教育资源分享平台
00:24:09: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changzuf68学习网-学习教育资源分享平台
ed state to downzuf68学习网-学习教育资源分享平台
00:24:10: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to downzuf68学习网-学习教育资源分享平台
-----------------------------------------zuf68学习网-学习教育资源分享平台
Switch#show port-securityzuf68学习网-学习教育资源分享平台
Secure Port? MaxSecureAddr? CurrentAddr? SecurityViolation? Security Actionzuf68学习网-学习教育资源分享平台
??????????????? (Count)?????? (Count)????????? (Count)zuf68学习网-学习教育资源分享平台
---------------------------------------------------------------------------zuf68学习网-学习教育资源分享平台
????? Fa0/1????????????? 1??????????? 1????????????????? 1???????? Shutdownzuf68学习网-学习教育资源分享平台
---------------------------------------------------------------------------zuf68学习网-学习教育资源分享平台
Total Addresses in System (excluding one mac per port)???? : 0zuf68学习网-学习教育资源分享平台
Max Addresses limit in System (excluding one mac per port) : 1024zuf68学习网-学习教育资源分享平台
-------------------------------------------------------------------zuf68学习网-学习教育资源分享平台
Switch#show port-security interface f0/1zuf68学习网-学习教育资源分享平台
Port Security????????????? : Enabledzuf68学习网-学习教育资源分享平台
Port Status??????????????? : Secure-shutdownzuf68学习网-学习教育资源分享平台
Violation Mode???????????? : Shutdownzuf68学习网-学习教育资源分享平台
Aging Time???????????????? : 0 minszuf68学习网-学习教育资源分享平台
Aging Type???????????????? : Absolutezuf68学习网-学习教育资源分享平台
SecureStatic Address Aging : Disabledzuf68学习网-学习教育资源分享平台
Maximum MAC Addresses????? : 1zuf68学习网-学习教育资源分享平台
Total MAC Addresses??????? : 1zuf68学习网-学习教育资源分享平台
Configured MAC Addresses?? : 1zuf68学习网-学习教育资源分享平台
Sticky MAC Addresses?????? : 0zuf68学习网-学习教育资源分享平台
Last Source Address??????? : 00a1.b003.3cd7zuf68学习网-学习教育资源分享平台
Security Violation Count?? : 14.配置MAC地址持续时间zuf68学习网-学习教育资源分享平台
1)?进入接口模式? interface 接口zuf68学习网-学习教育资源分享平台
2)?配置持续时间zuf68学习网-学习教育资源分享平台
??? switchport port-security aging time 时间 type absolute|inactivityzuf68学习网-学习教育资源分享平台
??? absolute模式:当持续时间过后,安全端口上的地址将被绝对删除zuf68学习网-学习教育资源分享平台
??? inactivity模式:在持续时间内,没有使用的端口将被删除zuf68学习网-学习教育资源分享平台
案例:zuf68学习网-学习教育资源分享平台
Switch(config)# interface gigabitethernet0/1 zuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport port-security aging time 120zuf68学习网-学习教育资源分享平台
-------------------------------------------------------------------------zuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport port-security aging time 2 zuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport port-security aging type inactivity zuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport port-security aging static5.验证结果zuf68学习网-学习教育资源分享平台
?? show port-security [interface 接口] address案例:zuf68学习网-学习教育资源分享平台
CCIE-LAB(V135)zuf68学习网-学习教育资源分享平台
题目要求:zuf68学习网-学习教育资源分享平台
At sw1 port 15, there is a host need to be protected. You must config this port to protect it and must use arp command to bind the host’s ip address and mac address. Mac addresses 0080.2222.3333 and ip 172.1.1.1/24.zuf68学习网-学习教育资源分享平台
配置:zuf68学习网-学习教育资源分享平台
SW1zuf68学习网-学习教育资源分享平台
?? interface f0/15zuf68学习网-学习教育资源分享平台
switchport mode accesszuf68学习网-学习教育资源分享平台
siwtchport port-security maximum 1zuf68学习网-学习教育资源分享平台
switchport port-security mac-address 0080.2222.3333zuf68学习网-学习教育资源分享平台
switchport port-security violation protectzuf68学习网-学习教育资源分享平台
?? arp 172.1.1.1 0080.2222.3333 arpa f0/15CCIE-LAB(V142)zuf68学习网-学习教育资源分享平台
题目要求:安全部分zuf68学习网-学习教育资源分享平台
SW1的Fa0/12连接外部Public network drop的机器,这台机器的IP ADDRESS=X.X.X.X; MAC=0000.8333.3333,保证没有其他机器可使用这个端口。(考试没给出IP Address,故没必要用arp命令)zuf68学习网-学习教育资源分享平台
配置:zuf68学习网-学习教育资源分享平台
sw1zuf68学习网-学习教育资源分享平台
config termizuf68学习网-学习教育资源分享平台
interface f0/12zuf68学习网-学习教育资源分享平台
?? switchport mode accesszuf68学习网-学习教育资源分享平台
?? switchport port-securityzuf68学习网-学习教育资源分享平台
?? switchport port-security maximum 1zuf68学习网-学习教育资源分享平台
?? switchport port-security mac-address 0000.8333.3333zuf68学习网-学习教育资源分享平台
?? switchport port-security violation protectzuf68学习网-学习教育资源分享平台
?? no shutCCIE-LAB(V148)zuf68学习网-学习教育资源分享平台
题目要求:zuf68学习网-学习教育资源分享平台
Configure Sw2-Fa0/2 so that it only accepts traffic from R2. If another host is attached to the port then the traffic should be dropped, but the port should remain enabled.zuf68学习网-学习教育资源分享平台
配置:zuf68学习网-学习教育资源分享平台
SW2zuf68学习网-学习教育资源分享平台
Interface f0/2zuf68学习网-学习教育资源分享平台
? Switchport mode accesszuf68学习网-学习教育资源分享平台
? Switchport port-securityzuf68学习网-学习教育资源分享平台
? Switchport port-securtiy mac-address R2的mac地址zuf68学习网-学习教育资源分享平台
? Switchport port-security maximum 1zuf68学习网-学习教育资源分享平台
? Switchport port-security violation protectCCIE-LAB(yy)zuf68学习网-学习教育资源分享平台
题目要求:zuf68学习网-学习教育资源分享平台
VLAN_B need tight (high) security, configure the ports in this VLAN to physical address of the routers that are currently attached to them. zuf68学习网-学习教育资源分享平台
This configuration should survive the reboot of the switch.? zuf68学习网-学习教育资源分享平台
Log violations of this policy while allowing correct traffic to proceed. zuf68学习网-学习教育资源分享平台
图:zuf68学习网-学习教育资源分享平台
?zuf68学习网-学习教育资源分享平台
VLAN B---VLAN12zuf68学习网-学习教育资源分享平台
配置:zuf68学习网-学习教育资源分享平台
SW2zuf68学习网-学习教育资源分享平台
conf tzuf68学习网-学习教育资源分享平台
interface range f0/2,f0/5zuf68学习网-学习教育资源分享平台
?? shut downzuf68学习网-学习教育资源分享平台
?? switchport mode accesszuf68学习网-学习教育资源分享平台
?? switchport port-securityzuf68学习网-学习教育资源分享平台
?? switchport port-security maximum 1zuf68学习网-学习教育资源分享平台
?? switchport port-security mac-address stickyzuf68学习网-学习教育资源分享平台
?? switchport port-security violation restrictzuf68学习网-学习教育资源分享平台
另外解决方案:zuf68学习网-学习教育资源分享平台
sw2 zuf68学习网-学习教育资源分享平台
config terminalzuf68学习网-学习教育资源分享平台
show mac-address-table????????? //查看r2和r5的mac地址zuf68学习网-学习教育资源分享平台
interface f0/2zuf68学习网-学习教育资源分享平台
?? shutzuf68学习网-学习教育资源分享平台
?? switchport mode accesszuf68学习网-学习教育资源分享平台
?? switchport port-securityzuf68学习网-学习教育资源分享平台
?? switchport port-security maximum 1zuf68学习网-学习教育资源分享平台
?? switchport port-security mac-address r2的mac地址zuf68学习网-学习教育资源分享平台
?? switchport port-security violation restrictzuf68学习网-学习教育资源分享平台
?? no shutzuf68学习网-学习教育资源分享平台
interface f0/5zuf68学习网-学习教育资源分享平台
?? shutzuf68学习网-学习教育资源分享平台
?? switchport mode accesszuf68学习网-学习教育资源分享平台
?? switchport port-securityzuf68学习网-学习教育资源分享平台
?? switchport port-security maximum 1zuf68学习网-学习教育资源分享平台
?? switchport port-security mac-address r2的mac地址zuf68学习网-学习教育资源分享平台
?? switchport port-security violation restrictzuf68学习网-学习教育资源分享平台
?? no shut案例:zuf68学习网-学习教育资源分享平台
CCIE-LAB(V180)zuf68学习网-学习教育资源分享平台
题目要求:zuf68学习网-学习教育资源分享平台
The customer wants to connect guest Ipphones to Sw4 f0/11-15zuf68学习网-学习教育资源分享平台
l?He wants to protecte interface from a user connecting a PC or a hubzuf68学习网-学习教育资源分享平台
l?He wants the interface to learning first mac-address connected and become part of the configurationzuf68学习网-学习教育资源分享平台
l?He does not want to have to manually bring backup the interface if the encounter a security viotation,but he do to ensure that the phones’s address is the only one allowed,and be able to check eth steales violation.zuf68学习网-学习教育资源分享平台
配置:zuf68学习网-学习教育资源分享平台
sw4zuf68学习网-学习教育资源分享平台
?? config termizuf68学习网-学习教育资源分享平台
?? mls qoszuf68学习网-学习教育资源分享平台
?? interface range f0/11 –15zuf68学习网-学习教育资源分享平台
switchport mode accesszuf68学习网-学习教育资源分享平台
switchport voice vlan dot1pzuf68学习网-学习教育资源分享平台
switchport port-securityzuf68学习网-学习教育资源分享平台
switchport port-security mac-address stickyzuf68学习网-学习教育资源分享平台
switchport port-security violation restrictzuf68学习网-学习教育资源分享平台
mls qos trust cos第二. 基于主机MAC地址限制流量zuf68学习网-学习教育资源分享平台
?? 对于MAC过滤的特性,它能够根据主机MAC地址来限制流量,在使用该特性的情况下,交换机能够丢弃源自所配置MAC地址的流量。通过使用这种特性,网络管理源能够防止未授权主机向网络发送流量。zuf68学习网-学习教育资源分享平台
注意,交换机只允许对单播的源MAC地址流量进行过滤,而不允许对多播的源MAC地址流量进行过滤。他对采用多播源MAC地址发送数据报的规范是无效的。zuf68学习网-学习教育资源分享平台
?? 交换机允许在整个VLAN或单个接口上配置单播过滤。如果数据帧采用的源MAC地址没有被指定,那么交换机就可以正常地传递数据帧。对于基于cisco IOS软件的交换机,它只支持重启之后仍然存在的单播过滤。zuf68学习网-学习教育资源分享平台
配置过程:zuf68学习网-学习教育资源分享平台
1) 进入全局模式?? configure terminalzuf68学习网-学习教育资源分享平台
2) 配置限制MAC地址流量zuf68学习网-学习教育资源分享平台
??? mac-address-table static MAC地址 vlan vlan号 dropzuf68学习网-学习教育资源分享平台
3) 验证结果zuf68学习网-学习教育资源分享平台
??? show mac-address-table static vlan 1案例:zuf68学习网-学习教育资源分享平台
switch(config)#mac-address-table static 0000.0000.0008 vlan 1 dropzuf68学习网-学习教育资源分享平台
switch#show mac-address-table static vlan 1zuf68学习网-学习教育资源分享平台
????????? Mac Address Tablezuf68学习网-学习教育资源分享平台
-------------------------------------------Vlan??? Mac Address?????? Type??????? Portszuf68学习网-学习教育资源分享平台
----??? -----------?????? --------??? -----zuf68学习网-学习教育资源分享平台
?? 1??? 000d.6564.0280??? STATIC????? CPUzuf68学习网-学习教育资源分享平台
?? 1??? 0100.0ccc.cccc??? STATIC????? CPUzuf68学习网-学习教育资源分享平台
?? 1??? 0100.0ccc.cccd??? STATIC????? CPUzuf68学习网-学习教育资源分享平台
?? 1??? 0100.0cdd.dddd??? STATIC????? CPUzuf68学习网-学习教育资源分享平台
?? 1??? 0000.0000.0008??? STATIC????? Dropzuf68学习网-学习教育资源分享平台
Total Mac Addresses for this criterion: 5第三。阻塞端口的单播或多播扩散zuf68学习网-学习教育资源分享平台
默认情况下,如果数据包具有未知的目标MAC地址,那么交换机将把它扩散到与接收端口的VLAN相同的VLAN中所有端口。某些端口不需要扩散功能。例如,如果某个端口只有手工分配的MAC地址,并且没有连接所配置MAC地址之外的其它任何网络设备,那么它就不需要接收扩散数据包。此外,如果端口已经学到最大数目的MAC地址,那么对于通过配置安全MAC地址或端口启用端口安全的端口,它就不必接收未知的单播扩散。zuf68学习网-学习教育资源分享平台
通过使用单播或多播扩散阻塞的特性,将可以避免在不必要的端口上转发单播扩散流量。通过以每个端口为基础而限制流量大小,不仅可以增加网络的安全限制,并且还可以防止网络设备徒然地处理无定向的数据包。配置过程:zuf68学习网-学习教育资源分享平台
1) 进入全局模式?? configure terminalzuf68学习网-学习教育资源分享平台
2) 进入接口模式?? interface 接口zuf68学习网-学习教育资源分享平台
3) 配置其端口阻塞单播zuf68学习网-学习教育资源分享平台
??? switchport block unicastzuf68学习网-学习教育资源分享平台
4) 配置其端口阻塞多播流量zuf68学习网-学习教育资源分享平台
??? switchport block multicastzuf68学习网-学习教育资源分享平台
5) 验证结果zuf68学习网-学习教育资源分享平台
??? show interface 接口 switchport案例:zuf68学习网-学习教育资源分享平台
Switch# configure terminalzuf68学习网-学习教育资源分享平台
Switch(config)# interface fa0/1zuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport block multicastzuf68学习网-学习教育资源分享平台
Switch(config-if)# switchport block unicastzuf68学习网-学习教育资源分享平台
Switch(config-if)# endzuf68学习网-学习教育资源分享平台
Switch#show interface f0/1 switchport案例:zuf68学习网-学习教育资源分享平台
CCIE-LAB(V160)zuf68学习网-学习教育资源分享平台
题目要求:zuf68学习网-学习教育资源分享平台
在SW2种fa0/10上阻塞所有未知的组播流量zuf68学习网-学习教育资源分享平台
配置:zuf68学习网-学习教育资源分享平台
SW2zuf68学习网-学习教育资源分享平台
?? config termizuf68学习网-学习教育资源分享平台
?? interface f0/10zuf68学习网-学习教育资源分享平台
switchport block multicastzuf68学习网-学习教育资源分享平台
版权声明:原创作品,如需转载,请与作者联系。否则将追究法律责任

本站所有资源均来自于68学习网蜘蛛爬取结果,如您发现侵权、违法、存在不和谐内容,告知本站一律删除

本站不以盈利为目的,全站资源仅供学习爱好使用。本站站长邮箱:luo689up@foxmail.com

备案号:闽ICP备15018334号-2

©68学习网  2016-2017版权所有     站点地图

回到顶部